16 Enterprise ManagerでのBI Publisherの構成
Oracle Business Intelligence (BI) Publisherは、高度にフォーマットされたあらゆるドキュメントを作成、管理および配布するためのオラクル社の主要レポート・ツールです。BI Publisherは、Enterprise Manager Cloud Control 13cに標準で付属しています。
この章の構成は、次のとおりです。
概要
Enterprise Manager 13cリリース1 (13.1.0.0.0)以降、BI PublisherがEnterprise Managerとともにインストールされ自動的に構成されるようになりました。BI Publisherは、Enterprise Managerの基本フレームワーク・コンポーネントであるため、削除あるいは構成解除を行うことはできません。
注意:
どのような状況においてもBI Enterprise Edition (BIEE)のソフトウェアのみのインストールを実行する必要はありません。
注意:
BI Publisherを構成するためにconfigureBIPスクリプトを実行する必要もなくなりました。BI Publisherは、Enterprise Managerのインストール、アップグレードおよびリカバリのシナリオすべてで自動的に構成されます。
注意:
ごく一部の特殊なケースを除き、configureBIPスクリプトの手動実行はサポートされません。
BI Publisherの機能
BI Publisherの主要な機能は次のとおりです。
-
ページ区切りおよびヘッダー/フッターを使用した、高度にフォーマットされた業務用レポート。
-
PDF、Excel、PowerPoint、WordおよびHTMLの各レポート形式。
-
Enterprise Managerリポジトリに対する独自のカスタム・レポートの開発(読取り専用のリポジトリ・アクセス)。
-
Enterprise Managerセキュリティとの統合。
-
Enterprise Managerの各管理者に対する異なるレベルのBI Publisher機能の付与。
-
電子メールやFTPなど、BI Publisherのスケジュール機能の使用および配信メカニズムの使用。
従来の情報パブリッシャ・レポート
情報パブリッシャ(IP)レポート作成フレームワークは、Enterprise Manager 13c Cloud Controlで引き続きサポートされますが、Enterprise Manager 12cリリース1 (12.1.0.1)では非推奨になりました。今後はIPフレームワークを使用したレポート開発は行われません。
また、カスタムIPレポート開発は将来のEnterprise Managerリリースでは非推奨になる予定です。Enterprise Manager 13cリリース1ではIPレポート開発は全面的にサポートされていますが、すべてのカスタムEnterprise Managerレポート開発にはBI Publisherを使用することをお薦めします。
現在、既存のIPレポートを実行する機能が非推奨になる予定はありません。
BI Publisherの構成およびEnterprise Manager 13cとの統合
Enterprise Managerの詳細、および共有記憶域および高可用性を含むBI Publisherの自動構成に関する固有の詳細は、『Oracle Enterprise Manager基本インストレーション・ガイド』のEnterprise Manager Cloud Controlのインストール に関する項とこのガイドを参照してください。BI Publisherおよび「共有場所の詳細」ページの詳細は、Enterprise Managerインストレーションおよびアップグレード・ガイドを参照してください。
この例では、BI Publisherの共有記憶域は2つのボリューム/BIP_STORAGE/configおよび/BIP_STORAGE/clusterに自動的に構成されます。これら2つのボリュームはEnterprise Managerと同じシステムに配置できます。ただし、現在複数OMSを含む高可用性環境でEnterprise Managerを実行している場合、あるいは将来的にそうする計画がある場合は、これらの記憶域ボリュームを図16-1に示すようにリモート共有記憶域デバイスに配置する必要があります。この共有記憶域デバイスには、高可用性インストールを構成するすべてのEnterprise Managerシステムからアクセスできることが必要です。
図16-1 共有記憶域
BI Publisherレポート定義のすべておよび特定のBI Publisher構成アイテムは、「構成ボリューム」に格納されます。したがって、適切で定期的なバックアップ戦略を定めることが重要です。これらのバックアップの間隔はBI Publisherの使用方法によって変わります。
また、BI Publisherは、インストール手順の最後およびemctl start oms
の実行のたびに起動するように自動的に「有効化」されます。
BI Publisherを含むEnterprise Managerの使用
Enterprise ManagerインストールおよびBI Publisherが機能しているかどうかの確認は、新規構成モードまたはアップグレード構成モードのどちらかで実行できます。
BI Publisherへのアクセス経路
BI Publisherとの通信に使用される様々な経路があります。現在構成されている特定の経路を表示するには、emctl status oms -details
コマンドを使用します。
注意:
企業ファイアウォールを効果的に使用すると、OMSまたはBI Publisherへのアクセスに使用される様々なTCP/IPポートを制限できます。
-
BI Publisherレポートのリスト(前項の図)からBI Publisherにアクセスします。これはBI Publisherにアクセスする最も簡単な方法です。以下に示す経路をよく理解したり構成したりする必要はありません。これは「直接チャネル」です。「直接チャネル」は、様々な構成設定に基づきヒューリスティック・アルゴリズムを使用して自動的に判別されます。
-
Oracle Management Server (OMS)からBI Publisherにアクセスします。OMSは、様々な処理(BI Publisherレポートのリスト表示や新しいレポートのデプロイなど)を実行するために、BI Publisherと通信する必要があります。これは内部チャネルです。内部チャネルはEnterprise Managerのインストールまたはアップグレード時に自動的に構成されます。内部チャネルは、
emcli setup_bipublisher
コマンドを使用していつでも手動で変更することもできます。このコマンドの詳細は、「BI Publisherサーバーおよび他のEnterprise Managerコンポーネントの管理」を参照してください。
2つのチャネルについて次に詳しく説明します。
-
直接チャネル: 後で示すTCP/IPポートのいずれかと通信プロトコル(HTTPまたはHTTPS)が使用されます。Enterprise Managerのアクセスに使用される方法やEnterprise Manager認証モデルによって異なります。emctl status oms -detailsコマンドを使用すると、すべてのBI Publisherポートの値を表示できます。
-
Enterprise Managerがサーバー・ロード・バランサでの使用に対して構成されている場合、次のチャネルの1つまたは両方が使用されます。emctl secure omsコマンドの詳細や、Enterprise Managerとともに使用するためのサーバー・ロード・バランサの構成は、Enterprise Manager高可用性ガイドを参照してください。
-
通常、サーバー・ロード・バランサのHTTPSポートを介してアクセスされます。このポートはemctl status oms -detailsコマンドを使用して判別できます。このポートはemctl secure omsコマンドを使用して再構成できます。このコマンドはローリング停止手順の際に各OMSシステムで実行する必要があります。
例: emctl secure oms -slb_bip_https_port 5443
-
Enterprise Managerが、emctl secure oms -unlock_consoleまたはemctl secure unlockを使用してロック解除されていた場合、HTTPモードでのサーバー・ロード・バランサ・ポートを介したアクセスもサポートされます。このチャネルが使用されるのは、Enterprise Managerが、HTTPを使用する非セキュア・モードでサーバー・ロード・バランサを使用してアクセスされた場合です。これは1つのOMSシステムのみで実行する必要があります。停止時間は不要です。次に例を示します。
emctl secure oms -slb_bip_http_port 8080
-
セキュアなOracle HTTPS Serverポート(OHS)を介してアクセスします。これが使用されるのは、サーバー・ロード・バランサが構成されているかどうかにかかわらず、Enterprise ManagerがOHS HTTPSポートを介してアクセスされた場合です。このポートは、Enterprise Managerに仮想ホスト名が構成されている場合にも使用されます。
-
Enterprise Managerがロック解除されていると、Enterprise ManagerがOHS HTTPポートを介してアクセスされた場合に、セキュアでないOracle HTTP Serverポート(OHS)を介したアクセスが使用されます。このポートは、Enterprise Managerに仮想ホスト名が構成されている場合にも使用されます。
-
Enterprise Managerがシングル・サインオンを使用するように構成され、Enterprise ManagerがOMS管理対象サーバー・ポートで直接アクセスされる場合、BI Publisherは常にセキュアなHTTPSポートでアクセスされます(つまり、SSOログイン画面は使用されません)。これは、Enterprise ManagerがHTTPモードとHTTPSモードのどちらでアクセスされた場合でも同じです。
-
-
内部チャネル: 次のいずれかのTCP/IPポートが使用されます。このチャネルを介したすべての通信はHTTPSモードを使用する必要があります。
-
サーバー・ロード・バランサを介してHTTPSモードでアクセスします。
-
セキュアなHTTPSポートでWebLogic管理対象サーバーに直接アクセスします。
-
OHSポートを介したアクセスは、内部チャネルにはサポートされていません。
-
-
補助チャネル: Enterprise Managerがロック解除されている場合、WebLogic管理対象サーバーへのアクセスはHTTPポートで行うことができます。
様々なチャネルを判別するemctl status oms -details
の使用例:
emctl status oms -details Oracle Enterprise Manager Cloud Control 13c Release 3 Copyright (c) 1996, 2015 Oracle Corporation. All rights reserved. Enter Enterprise Manager Root (SYSMAN) Password : Console Server Host : emoms1.example.com HTTP Console Port : 7788 HTTPS Console Port : 7799 HTTP Upload Port : 4889 HTTPS Upload Port : 4900 EM Instance Home : /oracle/gc_inst/em/EMGC_OMS1 OMS Log Directory Location : /oracle/gc_inst/em/EMGC_OMS1/sysman/log SLB or virtual hostname: slb.example.com HTTPS SLB Upload Port : 4900 HTTPS SLB Console Port : 443 Agent Upload is unlocked. OMS Console is unlocked. Active CA ID: 1 Console URL: https://slb.example.com:443/em Upload URL: https://slb.example.com:4900/empbs/upload WLS Domain Information Domain Name : GCDomain Admin Server Host : emoms1.example.com Admin Server HTTPS Port: 7101 Admin Server is RUNNING Oracle Management Server Information Managed Server Instance Name: EMGC_OMS1 Oracle Management Server Instance Host: emoms1.example.com WebTier is Up Oracle Management Server is Down JVMD Engine is Down BI Publisher Server Information BI Publisher Managed Server Name: BIP BI Publisher Server is Up BI Publisher HTTP Managed Server Port : 9701 BI Publisher HTTPS Managed Server Port : 9803 BI Publisher HTTP OHS Port : 9788 BI Publisher HTTPS OHS Port : 9851 BI Publisher HTTPS SLB Port : 5443 BI Publisher HTTP SLB Port : 8080 BI Publisher is unlocked. BI Publisher Server named 'BIP' running at URL: https://slb.example.com:5443/xmlpserver BI Publisher Server Logs: /oracle/gc_inst/user_projects/domains/GCDomain/servers/BIP/logs/ BI Publisher Log : /oracle/gc_inst/user_projects/domains/GCDomain/servers/BIP/logs/bipublisher/bipublisher.log
Enterprise Manager管理者に対するBI Publisherへのアクセスの許可
BI Publisherは、WebLogicを介して、Enterprise Manager用に構成されているセキュリティ・モデルを共有します。セキュリティ・モデルは、BI Publisherへのアクセス認証と、BI Publisherの様々な機能へのアクセス権限の設定という2つの目的で使用します。次の項目を後述の各項で説明します。
Enterprise Manager認証セキュリティ・モデル
統合すると、BI PublisherレポートがEnterprise Managerのセキュリティ・モデルに準拠します。Enterprise Managerでは、『Enterprise Manager Cloud Controlセキュリティ・ガイド』のサポートされている認証スキームに関する項で定義されているように、様々なセキュリティ・モデルをサポートしています。
Enterprise Manager 13cがサポートしているセキュリティ・モデルの概要は次のとおりです。
- リポジトリベースの認証
- エンタープライズ・ユーザー・セキュリティベース(EUS)の認証
- Oracle Access Manager(OAM) SSO
- Oracle Single Sign-On(OSSO)ベースの認証
- LDAP認証オプション: Oracle Internet DirectoryおよびMicrosoft Active Directory
- 他のLDAPプロバイダ(Enterprise Managerによってサポートされる)の手動WebLogic構成。
BI Publisherセキュリティ・モデル
BI Publisherは、Enterprise Managerと統合されると、Enterprise Managerと同じセキュリティ・モデルを共有します。
セキュリティ・モデル1: リポジトリベースの認証(認証にOracle Databaseを使用)。
セキュリティ・モデル2: エンタープライズ・ユーザー・セキュリティ認証(EUS) (認証にOracle Databaseを使用)。このセキュリティ構成では、Oracle Databaseが認証をLDAPサーバーに委任します。ただし、このLDAPサーバーにWebLogicが直接アクセスすることはなく、そのためBI PublisherはLDAPサーバーに直接アクセスしません。
残り4つ(3から6まで)のセキュリティ・モデルでは、WebLogicが直接アクセスする、基礎となるLDAPサーバーを使用してユーザーを認証します。
このドキュメントでは、BI Publisherセキュリティ・モデルを次の2つのカテゴリのいずれかに分類します。
-
リポジトリベースの認証
-
基礎となるLDAPベースの認証
注意:
BI Publisherが適切にEnterprise Managerと連動するためには、BI Publisher管理者画面を使用してBI Publisherセキュリティ・モデルを直接変更しないことが非常に重要です。Enterprise ManagerとBI Publisherは、同じWebLogicドメインで構成されているため、自動的に同じセキュリティおよび認証メカニズムを共有します。BI Publisherセキュリティ・モデルを直接変更すると、BI Publisherにログインできなくなります。
BI Publisherレポートに適用される主なセキュリティ属性は次のとおりです。
これらの各セキュリティ属性の詳細を次の各項で説明します。
BI Publisherの権限
Enterprise Managerには、オラクル社提供の特定のBI Publisherカタログ・オブジェクトが付属しています。これらのカタログ・オブジェクトは次の要素で構成されています。
-
フォルダ
-
レポート(レイアウト定義および変換)
-
データ・モデル(Enterprise Managerリポジトリに対するSQL問合せ)
-
サブテンプレート(すべてのレポート出力の各ページの上部に表示される標準のEnterprise Managerヘッダー)
これらのカタログ・オブジェクトは、BI PublisherがインストールされてEnterprise Managerに統合されると作成されます。これらは、「Enterprise Manager Cloud Control」フォルダにあります。これらのカタログ・オブジェクトは、次に説明するロール/グループを組み合せた特定の権限で作成され、目的のセキュリティ・モデルを達成します。
BI PublisherのOPSSアプリケーション・ロール
ドメイン・ポリシー・ストア(OPSS)を使用すると、BI Publisherカタログのオブジェクトに対するEnterprise Manager管理者のアクセス権や、BI Publisherの「管理」ボタンへの条件付きアクセス権を制御できます。
OPSSは、システムおよびアプリケーションに固有のポリシーのリポジトリです。OPSSの詳細は、『Oracle® Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOPSSサービスに関する項を参照してください。ドメインには、そのドメインにデプロイしたすべてのアプリケーションで使用できるすべてのポリシー(および資格証明)を格納するストアが1つあります。Enterprise ManagerとBI Publisherはいずれも同じドメイン内にある個別アプリケーションなので、Enterprise Manager管理者がBI Publisherにアクセスして使用するには、BI Publisher固有のOPSSアプリケーション・ロールが付与されている必要があります。
BI Publisherがインストールされると、OPSSアプリケーション・ロールが4つ作成されます。これら4つのOPSSアプリケーション・ロールは、「Enterprise Manager Cloud Control」フォルダにあるBI Publisherカタログ・オブジェクトの権限と組み合され、次の各項に示すルールを達成します。また、基礎となるLDAP認証セキュリティ・モデルを使用すると、これらのOPSSアプリケーション・ロールにLDAPグループをマップできます。
リポジトリベースの認証セキュリティ・モデルでは、BI Publisherに対するEnterprise Manager管理者のアクセス権を制御するためだけに、ドメイン・ポリシー・ストア(OPSS)が使用されます。
BI Publisher機能へのアクセス認証とアクセス制限
次にOPSSアプリケーション・ロールを示し、Enterprise Managerに付属のBI Publisherカタログ・オブジェクトに配置される効果的なセキュリティ・モデルについて説明します。
-
なし - BI Publisherロールを持たないEnterprise Manager管理者は、BI Publisherがサポートしている任意の配信チャネルを介して(ただし、構成済でBI Publisherのシステム管理者がアクセス可能であること) BI Publisherレポートにアクセスできます。たとえば、構成済であれば、すべてのユーザーがBI PublisherレポートをBI Publisherのスケジュール機能および電子メール配信メカニズムを介して受信できます。
-
EMBIPViewer - このBI Publisherロールを持つEnterprise Manager管理者は、電子メールを受信できるだけでなく、Enterprise Manager提供のBI Publisherレポートを表示することもできます。
-
EMBIPScheduler - このBI Publisherロールを持つEnterprise Manager管理者は、電子メールの受信とEnterprise Manager提供のBI Publisherレポートのスケジュール設定を行うことができます。ただし、この権限ではEnterprise Manager提供のBI Publisherレポートを表示することはできません。したがって、BI Publisherレポートをスケジュール設定する必要があるEnterprise Manager管理者には、通常はEMBIPViewer権限を付与する必要があります。
-
EMBIPAuthor - このBI Publisherロールを持つEnterprise Manager管理者は、電子メールの受信やEnterprise Manager提供のBI Publisherレポートの表示が可能で、新しいレポートを各自のプライベート・フォルダに作成できます。また、Enterprise Manager提供のBI Publisherレポートを個人フォルダにコピーして、カスタマイズすることも可能です。
-
EMBIPAdministrator(スーパーユーザー) - このBI Publisherロールを持つEnterprise Manager管理者は、BI Publisherへの完全なアクセス権があります。
次の図は、前述のロールの階層を示したものです。
注意:
BI Publisherの「管理」ボタンへのアクセス権は、OPSSアプリケーション・ロールを介して付与されます。このボタンは、BI Publisherで詳細構成(電子メール・サーバーの設定など)を実行する場合に使用します。
Enterprise Managerのスーパー管理者
リポジトリベースの認証セキュリティ・モデルを使用すると、Enterprise Managerのすべてのスーパー管理者にOPSSアプリケーション・ロールEMBIPAdministratorが自動的に付与され、BI Publisherを設定できるようになります。
基礎となるLDAP認証セキュリティ・モデルを使用すると、Enterprise Managerのスーパー管理者にBI PublisherへのEMBIPAdministratorアクセス権限は自動的に付与されません。詳細は、「基礎となるLDAP認証セキュリティ環境でのEnterprise Manager管理者に対するBI Publisherへのアクセスの許可」を参照してください。
BI Publisher機能へのアクセス制限
前の項で説明した4つのOPSSアプリケーション・ロールの付与は、使用しているBI Publisherセキュリティ・モデルによって若干異なります。確認のため、BI Publisherがサポートしている2つのセキュリティ・モデルを次に示します。
-
リポジトリベースの認証
-
基礎となるLDAPベースの認証
wlstを使用したリポジトリベースの認証モードによるEnterprise Manager管理者へのBI Publisher OPSSアプリケーション・ロールの付与
EM CLIコマンドを使用して、Enterprise Manager管理者に1つ以上のOPSSアプリケーション・ロールを付与します。次の使用例は、EM CLIを使用して、JERRYおよびLESLIEという名前のEnterprise Manager管理者に表示および作成のアクセス権を付与する方法を示しています。
注意:
エンタープライズ・ユーザー・セキュリティ(EUS)はユーザーの認証にLDAPサーバーを使用しますが、これはデータベースによって厳密に処理されます。そのため、この項の説明はEUSを使用する場合にも適用されます。
スクリプトを実行する手順は次のとおりです。
- Enterprise ManagerのEM CLIからEnterprise Managerに接続します
emcli grant_bipublisher_roles
を実行して、Enterprise ManagerユーザーにBI Publisherのアクセス権を付与します。
16-1 セッションの例
$ emcli login -username=sysman Enter password : Login successful $ emcli sync Synchronized successfully $ emcli grant_bipublisher_roles -roles="EMBIPViewer;EMBIPAuthor" -users="JERRY;LESLIE" EMBIPViewer role successfully granted to JERRY EMBIPViewer role successfully granted to LESLIE EMBIPAuthor role successfully granted to JERRY EMBIPAuthor role successfully granted to LESLIE
例16-2 BI Publisherレポートへの表示アクセス権の取消し
次のセッション例では、ユーザーJERRYからBI Publisherレポートの表示アクセス権を取り消します。
$ emcli login -username=sysman Enter password : Login successful $ emcli sync Synchronized successfully $ emcli revoke_bipublisher_roles -roles="EMBIPViewer" -users=JERRY EMBIPViewer role successfully revoked from JERRY
基礎となるLDAP認証セキュリティ環境でのEnterprise Manager管理者に対するBI Publisherへのアクセスの許可
事前に必要なステップ
基礎となるLDAP認証セキュリティ環境でBI Publisherアクセス・モデルを使用できるようにするためには、Enterprise Manager管理者によるLDAP検索がサポートされるようにデフォルトのOracle Virtual Directory (OVD)構成を変更する必要があります。この変更は、Oracle Management Server (OMS)とBI Publisherの両方でLDAP検索が正常に機能するために必要です。
構成ファイルadapters.os_xmlには、構成する必要のある固有のプロパティが2つあります。
-
次の3つのプロバイダの優先度には同じ値(通常は50)が設定されている必要があります。
-
DefaultAuthenticator
-
emgc_USER
-
emgc_GROUP
-
Enterprise Managerでの使用に対して構成されている任意のLDAPプロバイダ。たとえば、OID_Providerです。
-
-
次のプロパティは値falseに設定されている必要があります
-
useCaseInsensitiveSearch
-
Enterprise Manager 13cの場合、このファイルはWebLogicドメインにあります。ファイルの正確な場所は次のとおりです。
gc_inst/user_projects/domains/GCDomain/config/fmwconfig/ovd/default/adapters.os_xml
このファイル編集は、プライマリOracle Management Server (OMS)およびWebLogic管理サーバーが格納されているシステム上で行う必要があります。
この編集を行った後、完全なEnterprise Managerスタックのローリング・バウンスをすべてのEnterprise Managerシステムに対して実行する必要があります。そのためには、次のステップを実行します。
-
プライマリOMSシステムでadapters.os_xmlファイルを編集します。
-
すべてのEnterprise Managerシステムで、最初のOMSシステムから最後のOMSシステムの順に、次を実行します。
-
emctl stop oms –all –force
-
emctl start oms
-
次のMOSノートに詳細情報と、この変更をサポートする簡単なシェル・スクリプトが記載されています。
-
基礎となるLDAP認証セキュリティ環境でBI PublisherをOMSとともに使用するためのEnterprise Manager 13cの要件。(ドキュメントID 2260665.1)
基礎となるLDAP認証セキュリティ環境でBI Publisherアクセス・モデルを使用できるようにするためには、次のコマンドを実行する必要があります。
LDAPでのBI Publisherの使用方法の詳細
注意:
この項の説明は、エンタープライズ・ユーザー・セキュリティ(EUS)を使用するようにEnterprise Managerを構成している場合には適用されません。wlstを使用したリポジトリベースの認証モードによるEnterprise Manager管理者へのBI Publisher OPSSアプリケーション・ロールの付与を参照してください。
Enterprise ManagerとBI Publisherは個別のアプリケーションです。基礎となるLDAPベースの認証モデル(エンタープライズ・ユーザー・セキュリティ(EUS)を除く)を使用すると、外部LDAPサーバーに定義されたLDAPグループもBI Publisherへのアクセス権を管理するために使用できます。このようなLDAPグループを使用すると、BI Publisherに対する様々なレベルのアクセス権を複数のEnterprise Manager管理者に付与できます。これにより、1つ以上のLDAPグループのメンバーとしてLDAPユーザーを追加できるようになり、BI Publisherの適切な機能がそのユーザーに公開されます。これらのLDAPグループは、作成するか既存のものを使用する必要があり、「Enterprise Manager Cloud Control」フォルダのカタログ・オブジェクトの権限で調整されます。
企業標準のためにEnterprise Managerで使用する新しいLDAPグループを作成できなくても、「wlstを使用したリポジトリベースの認証モードによるEnterprise Manager管理者へのBI Publisher OPSSアプリケーション・ロールの付与」のステップを続行して、LDAPサーバーによって管理されるEnterprise Managerユーザーのために使用できます。
注意:
BI PublisherとEnterprise Managerは同じWebLogicドメイン内で構成されるため、BI Publisherアプリケーションで特別なLDAP構成を実行しないことが重要です。LDAPの構成は、次のステップで十分です。
基礎となるLDAPベースの認証セキュリティ・モデルでは、次のステップをお薦めします。
-
LDAPサーバーの管理者は、任意の名前を付けた4つの外部グループを使用する必要があります。これらのグループは階層的にグループ化する必要があります。既存のグループを使用するか、新しいグループを作成できます。このドキュメントの目的に合せて次の例を使用します。
注意:
グループ名はすべて大文字にする必要があります。
グループ名の例:
-
EMBIPADMINISTRATOR
-
EMBIPVIEWER
-
EMBIPSCHEDULER
-
EMBIPAUTHOR
-
-
LDAPサーバーの管理者は、前述の階層図に示した必要な階層構造を実現するために、次のような変更を加える必要があります。前述のLDAPグループ名を例に説明します。
-
EMBIPADMINISTRATORをEMBIPAUTHORのメンバーに設定
-
EMBIPADMINISTRATORをEMBIPSCHEDULERのメンバーに設定
-
EMBIPAUTHORをEMBIPVIEWERのメンバーに設定
-
注意:
LDAPでは、用語と概念が逆に見えて混乱する場合があります。たとえば、EMBIPAUTHORSグループにEMBIPADMINISTRATORSグループのメンバーを作成する場合などです。
BI Publisherおよびそのカタログ・オブジェクトへのアクセス権を付与するには、LDAPサーバーの管理者が、それぞれのLDAPユーザーを前述の1つ以上のLDAPグループのメンバーにする必要があります。
BI PublisherのOPSSアプリケーション・ロールに対するLDAPグループのマッピング
前述のOPSSアプリケーション・ロールに4つのLDAPグループをマップするには、EM CLIを使用してLDAPグループをマップする必要があります。
注意:
Enterprise Managerに対するBI Publisherの以前のインストールから、Enterprise Manager 13cリリース1 (13.1.0.0.0)に対するBI Publisher 12.1.3にアップグレードして、LDAPグループの名前が変更されていない場合、以前のOPSSアプリケーション権限が新しいインストールに継承されるため、このステップは不要です。
セッションの例
emcli grant_bipublisher_roles -roles="EMBIPViewer" -external_role="EMBIPVIEWER" EMBIPViewer successfully granted to EMBIPVIEWER emcli grant_bipublisher_roles -roles="EMBIPAuthor" -external_role="EMBIPAUTHOR" EMBIPAuthor successfully granted to EMBIPAUTHOR emcli grant_bipublisher_roles -roles="EMBIPScheduler" -external_role="EMBIPSCHEDULER" EMBIPScheduler successfully granted to EMBIPSCHEDULER emcli grant_bipublisher_roles -roles="EMBIPAdministrator" -external_role="EMBIPADMINISTRATOR" EMBIPAdministator successfully granted to EMBIPADMINISTRATOR
Secure Socket Layer (SSL)証明書を使用したBI Publisherの保護
BI Publisher WebLogic Serverには、デフォルト・アイデンティティ・キーストア(DemoIdentity.jks)とデフォルト信頼キーストア(DemoTrust.jks)が構成されています。また、WebLogic Serverは、JDKのcacertsファイルのCA証明書を信頼します。このデフォルトのキーストア構成は、テストや開発を目的とする場合に適しています。ただし、これらのキーストアは本番環境では使用しないでください。
Enterprise Managerが、emctl secure wls
、emctl secure oms
、emctl secure console
などのコマンドを使用してSSL証明書で保護されている場合、BI Publisherも同様に構成されます。このコマンドの使用方法の詳細は、Enterprise Managerのセキュリティ・ガイドを参照してください。
BI Publisherの管理
BI Publisher構成後の構成後処理ステップ
Enterprise Managerに表示されるBI Publisherのいくつかのレポートは、特定のプラグインに属しています。これらのレポートを使用するには、これらのプラグインをインストールする必要があります。プラグインはEnterprise Manager 13cのインストールまたはアップグレードの前でも後でもインストールできます。
注意:
インストールの詳細は、『Oracle Enterprise Manager基本インストレーション・ガイド』のEnterprise Manager Cloud Controlのインストールに関する項を参照してください。
Enterprise Managerプラグインが、Enterprise Manager 13cの最初のインストールまたはアップグレードの後にインストールされる場合、これらの新しいBI PublisherレポートをEnterprise ManagerからBI Publisherにデプロイする必要があります。これには、次のコマンドを使用できます。
emcli deploy_bipublisher_reports
このコマンドの完全な使用方法と例を参照するには、次を実行します。
emcli help deploy_bipublisher_reports
EMBIP*ロール: フォルダおよびカタログ・オブジェクトへのアクセス権の付与
デフォルトでは、付属のセキュリティ・モデル(「BI Publisher機能へのアクセス認証とアクセス制御」で説明)が「Enterprise Manager Cloud Control」フォルダ内のBI Publisherカタログ・オブジェクトに適用されます。これは、このフォルダ内に存在するカタログ・モデルがデフォルト設定の権限で設定されるためです。「BI Publisherの権限」を参照してください。このフォルダの外部にあるBI Publisherカタログ・オブジェクトには、これらと同じ権限は自動的に含まれません。たとえば、BI Publisherには「サンプル」という名前の共有フォルダに多くのレポートが用意されています。このフォルダへのアクセス権をEMBIPAdministrator以外のEnterprise Manager/BI Publisherユーザーに付与することが望ましい場合は、BI Publisherスーパー管理者(EMBIPAdministrator)がこのフォルダの権限を変更する必要があります。この操作を実行するには、「サンプル」フォルダを選択し、タスク・バーの左下隅の「権限」を選択します。次に、4つの権限(EMBIPAdministrator、EMBIPViewer、EMBIPAuthor、EMBIPScheduler)を追加し、その権限に適切なアクセス権(たとえば、EMBIPViewerにはレポートの表示アクセス権やオンライン実行アクセス権など)を付与する必要があります。管理者は、付属のEnterprise Managerレポート(指定したタイプのターゲットなど)のいずれかに基づいて、付与する適切な権限をモデル化できます。
EMBIPAuthorのOPSSアプリケーション・ロールを持つ各ユーザーは、それぞれのプライベート・フォルダにレポートを作成できます。これらのレポートを他のユーザーが使用することはできません。
注意:
共有フォルダの「Enterprise Manager Cloud Control」には、Enterprise Manager提供のBI Publisherレポートが含まれ、そのために予約されています。カスタム開発されたレポートはこのフォルダ階層に追加できません。Enterprise Managerに付属のデフォルトのセキュリティ・モデルでは特にこれが禁止されています。
注意:
Enterprise Managerの「BI Publisher Enterpriseレポート」メニュー(「エンタープライズ」メニュー→「レポート」→「BI Publisher Enterpriseレポート」を選択)に表示されるのは、「Enterprise Manager Cloud Control」フォルダ内のレポートのみです。
BI Publisher管理者(EMBIPAdministrator)が「Enterprise Manager Cloud Control」フォルダの外部に新しい共有フォルダを作成したい場合、この操作が可能です。これらのレポートは、Enterprise Managerの「BI Publisher Enterpriseレポート」メニューには表示されませんが、前述のように、適切な権限が付与されている場合は、他のEnterprise Manager管理者にも表示されます。
Enterprise Managerリポジトリへのアクセス
すべてのBI Publisherレポートには、Enterprise Managerリポジトリへの読取り専用アクセス権が付与されます。このアクセスは、EMREPOSという名前のBI Publisherデータ・ソースを経由します。このアクセスは、Enterprise ManagerユーザーMGMT_VIEW (Enterprise Manager公開のMGMT$データベース・ビューへの読取りアクセス権を持つ特別な内部Enterprise Managerユーザー)を経由します。また、レポートの実行時に、レポートを実行しているユーザーのターゲット・レベルのセキュリティにさらに制限されます。たとえば、ユーザーJOEにhostabcおよびdatabase3へのターゲット・レベルのアクセス権がある場合、ユーザーJOEがBI Publisherレポート(任意のレポート)を実行すると、これら2つのターゲットに関連付けられているターゲット・レベルのデータしか表示できません。
トラブルシューティング
次の各項では、Enterprise Manager/BI Publisherの統合で問題が発生した場合に使用できる一般的な方法を説明します。
configureBIPの再実行
新規のBI Publisher構成中またはBI Publisher構成アップグレードの実行中に、configureBIPの再実行が必要になることがあります。configureBIPコマンドを実行する前に、次のコマンドを使用してBI Publisherを停止します。
emctl stop oms -bip_only
注意:
ごく一部の特殊なケースを除き、configureBIPスクリプトの手動実行はサポートされません。
BI Publisherログ・ファイルの場所
次のログ・ファイルを使用すると、問題の発生時点までトレースできます。次のコマンドを使用して、それぞれに対応するディレクトリを特定します。
emctl status oms -details
BI Publisherの自動構成
次の場所のログ・ファイルは、Enterprise Managerインストールの間に実行されるBI Publisher自動構成に関連します。
場所: ORACLE_HOME(oms)/cfgtoollogs/bip/*
-
データベースでのBI Publisherスキーマの作成/アップグレード
-
"emBIPLATFORM.log
-
"emBIPLATFORMcreate_<date>.log
-
"biplatform.log
-
"emBIPLATFORMcreate.err
-
-
BI Publisherが統合されたEnterprise Managerドメインの拡張
-
"bipca_<date>.log
-
その他のトラブルシューティング
BI Publisherは正常に実行できるが、BI PublisherをEnterprise Managerに登録できない場合は(configureBIPスクリプトの実行時はエラーが生成される)、次を実行すると登録を再試行できます。
emcli login -username=<admin username> -password=<admin password> emcli sync emcli setup_bipublisher -proto=http[s] -host=<bip_host> -port=<bip_port> -uri=xmlpserver
Enterprise Managerが提供するすべてのBI Publisherレポートの再デプロイ
Enterprise Managerによって提供されるBI Publisherレポートが破損している場合、次の手順を使用してそれらを回復できます。
emcli login –username=sysman Password: <pw> emcli sync emcli deploy_bipublisher_reports –force
BI PublisherがインストールされEnterprise Managerと連携するよう構成された後にインストールされるプラグインの一部であるBI Publisherレポートも、このコマンドでデプロイできます。
BI Publisherのデバッグの有効化
表16-1 デバッグのログ・レベル
メッセージ・タイプ | レベル | 説明 |
---|---|---|
ERROR |
1 |
管理者がただちに対処する必要があり、製品のbug以外が原因の重大な問題。 |
WARNING |
1 |
管理者による確認を要する、潜在的な問題。 |
NOTIFICATION |
1 |
プライマリ・サブコンポーネントや機能のアクティブ化や非アクティブ化などの主要なライフサイクル・イベント。レベル1は、NOTIFICATIONのデフォルト・レベルです。 |
NOTIFICATION |
16 |
通常のイベントをレポートする粒度の詳細なレベル。 |
TRACE |
1 |
パブリックAPIエントリや終了ポイントなど、管理者に重要なイベントに関するトレースまたはデバッグ情報。 |
TRACE |
16 |
詳細なトレースまたはデバッグ情報で、Oracleサポートによる特定のサブシステムの問題診断に有益なもの。 |
TRACE |
32 |
非常に詳細なトレースまたはデバッグ情報で、Oracleサポートによる特定のサブシステムの問題診断に有益なもの。 |
プライマリBI Publisherサーバーのデバッグを有効化する手順を次に説明します。
注意:
次のコマンド例で、BIPはプライマリBI Publisherサーバーの名前です。デバッグを必要とするBI Publisherサーバーが複数ある場合、BIPを個々のサーバー名(BIP2またはBIP3など)で置き換えます。
BI Publisherのデバッグが終了したら、必ずデバッグを無効にしてください。
Enterprise Managerの管理 - BI Publisherの接続資格証明
Enterprise ManagerからBI Publisherにアクセスする場合、レポート定義を取得、表示および管理するために2つの製品間に直接接続が必要です。たとえば、「エンタープライズ」メニューから「レポート」を選択し、次に「BI Publisher Enterpriseレポート」を選択します。次の図に示すようなEnterprise Manager Cloud Control共有フォルダ内のBI Publisherレポートを示すツリー・ビューが表示されます。
Enterprise Manager Cloud Controlが最初にインストールされるとき、インストール/構成に必要な資格証明のみを持つ専用WebLogicユーザーが自動的に作成されます。Enterprise Manager 13c Cloud Controlリリース1以上、これらの資格証明をEMCTLコマンドconfig oms
を使用して構成できます。
動詞の構文
emctl config oms -store_embipws_creds [-admin_pwd <weblogic_pwd>] [-embipws_user <new_embipws_username>] [-embipws_pwd <new_embipws_pwd>]
config oms
コマンドを使用すると、インストールされているBI Publisher WebサーバーへのアクセスにEnterprise Managerで使用されるパスワードを変更できます。必要に応じてユーザー名も変更できます。config oms
コマンドの実行には、WebLogic管理ユーザーのパスワードが必要です。
注意1: config oms
コマンドでは、Enterprise ManagerとBI Publisherの接続に必要なユーザーの資格証明のみ変更します。Enterprise ManagerとBI Publisherの接続の資格証明は、ユーザーによってこれ以外に使用される資格証明と一致する必要があります。たとえば、Enterprise Managerユーザー(データベース認証)、LDAPユーザー、WebLogic Serverユーザーなどです。対応するアプリケーションやコンソールを使用して、インストールされている資格証明ストア内でユーザーの作成や管理を行います。たとえば、指定されるユーザーが、WebLogicに含まれる埋込みLDAPサーバーの一部である場合は、WebLogicコンソールを使用してパスワードを設定します。指定されるユーザーが企業LDAPサーバーの一部である場合は、そこでパスワードを設定します。
注意2: このコマンドは、BI Publisherがインストールされている場合にのみ使用できます。
注意3: EMGC_OMSnnnnやBIPnnnnなどの管理対象サーバーを再起動する必要はありません。
WebLogicでサポートされる有効な資格証明は、そのユーザーがEMBIPAdministrators権限も持つ(OPSSまたはLDAP内のいずれか)場合に使用できます。
例: (LDAP資格証明ストアをベースとする)シングル・サインオン(SSO)を使用するようEnterprise Managerを構成したとします。次のステップで、資格証明の更新プロセスを示します。
BISystemUser資格証明のリセット
BI Publisherが適切に動作するために、特別なユーザーがEnterprise Managerインストールの一部として作成されます。このユーザーはBISystemUserです。このユーザーの資格証明は、Enterprise Managerのインストールまたはアップグレード時にBI Publisherが最初に構成されるときに、セキュアなランダム・パスワード・ジェネレータを使用して作成されます。
企業でのポリシーまたは手順のために、このパスワードをリセットする必要がある場合には、次のコマンドを実行できます。
emctl config oms -change_bisystemuser_pwd [-admin_pwd <pwd> {[-user_pwd <pwd>] | [-auto_generate]}
新しいパスワードは自動的に再生成されます。あるいは、コマンドラインに特定のパスワードを指定できます。
次に、いくつかの例を示します。
emctl config oms -change_bisystemuser_pwd Oracle Enterprise Manager Cloud Control 13c Release 3 Copyright (c) 1996, 2019 Oracle Corporation. All rights reserved. Enter Admin User's Password : Enter BISystemUser's Password : Successfully updated credentials for BISystem account. emctl config oms -change_bisystemuser_pwd -auto_generate Oracle Enterprise Manager Cloud Control 13c Release 3 Copyright (c) 1996, 2019 Oracle Corporation. All rights reserved. Enter Admin User's Password : Successfully updated credentials for BISystem account. emctl config oms -change_bisystemuser_pwd -admin_pwd <entermypassword> Oracle Enterprise Manager Cloud Control 13c Release 3 Copyright (c) 1996, 2019 Oracle Corporation. All rights reserved. Enter BISystemUser's Password : Successfully updated credentials for BISystem account. emctl config oms -change_bisystemuser_pwd -admin_pwd <entermypassword> -user_pwd <entermypassword> Oracle Enterprise Manager Cloud Control 13c Release 3 Copyright (c) 1996, 2019 Oracle Corporation. All rights reserved. Successfully updated credentials for BISystem account. emctl config oms -change_bisystemuser_pwd -admin_pwd <entermypassword> -auto_generate Oracle Enterprise Manager Cloud Control 13c Release 3 Copyright (c) 1996, 2019 Oracle Corporation. All rights reserved. Successfully updated credentials for BISystem account.
BI Publisherサーバーおよび他のEnterprise Managerコンポーネントの管理
BI Publisherは、OMSおよびAdminServerを含む同じWebLogicドメインで個別の管理対象サーバーとして動作します。BI Publisherの構成後は、Enterprise Managerのemctlコマンドを使用し、OMSと独立してBI Publisherを管理することもできます。すべてのコマンドは、実行対象のコンポーネントの現在のステータスにかかわらず、適切に作動します。たとえば、OMSがすでに稼働している場合は、emctl start oms
によってその状態がレポートされ、起動が再試行されることはありません。また、BI Publisherがすでに停止している場合は、emctl stop oms -allによってその状態がレポートされ、停止が再試行されることはありません。
コマンドの操作
emctl start oms
このコマンドは、Oracle Enterprise Managerを実行するために必要なコンポーネントすべてを起動します。特に、このコマンドは次のコンポーネントを次の順序で起動します。
-
WebLogicノード・マネージャ
-
WebLogic管理サーバー
-
Oracle Management Service (JVMDマネージャを含む)
-
Oracle WebTier
-
BI Publisherサーバー
emctl start oms -bip_only
次のEnterprise Managerコンポーネントを起動します。
-
WebLogicノード・マネージャ
-
WebLogic管理サーバー
-
Oracle WebTier
-
BI Publisherサーバー
この後に示すemctl stop oms
コマンドのすべての組合せで、オプション引数-forceを指定すると、コマンドがノード・マネージャを使用してEnterprise Managerのコンポーネントを停止します。
emctl stop oms [-force]
停止するEnterprise Managerコンポーネント: Oracle Management Service (JVMDマネージャを含む)。
注意: このコマンドはEnterprise Managerの他のコンポーネントでは作動しません。
emctl stop oms -bip_only [-force]
停止するEnterprise Managerコンポーネント: BI Publisherサーバー
注意: このコマンドはEnterprise Managerの他のコンポーネントでは作動しません。
emctl stop oms -all
このコマンドは、Enterprise Managerのすべてのコンポーネントを停止します。特に、このコマンドは次のコンポーネントを次の順序で停止します。
-
Oracle WebTier
-
Oracle Management Service (JVMDマネージャを含む)
-
BI Publisherサーバー
-
WebLogic管理サーバー
-
WebLogicノード・マネージャ
emctl status oms
すべてのEnterprise Managerコンポーネントのステータスを示すメッセージを表示します
emctl status oms -bip_only
BI Publisherのステータスを示すメッセージを表示します。
emctl status oms -details [-sysman_pwd <pwd>]
このコマンドはすべてのEnterprise Managerコンポーネントのステータスを表示します。次を含む詳細情報を表示します。
-
コンソールとPBSのHTTPおよびHTTPSアップロード・ポート、それぞれのURL。
-
インスタンス・ホームの場所
-
Oracle Management Serviceログ・ディレクトリ
-
ソフトウェア・ロード・バランサまたは仮想サーバーの詳細
-
管理サーバー・マシン、ポートおよびURL
-
Oracle BI Publisherの詳細(構成されているすべてのTCP/IPポート、BI Publisherログ・ファイルの場所など)。
BI Publisherの使用
BI Publisherの使用に関する包括的な情報は、BI Publisherドキュメント・ライブラリを参照してください。
http://www.oracle.com/technetwork/middleware/bi-publisher/documentation/index.html
Enterprise Manager 13cリリース3とともにインストールされなかったBI Publisherの削除
重要: Enterprise Manager 13cリリース3のインストールが完了するまで、この項の手順を開始しないでください。
以前のリリースのEnterprise ManagerにもBI Publisherが含まれていた場合、OMSホームの以前のインストールとともに、BI Publisher Oracleホームの以前のインストールを安全に削除できます。ベスト・プラクティスとしては、以前のBI Publisher Oracleホームと関連するOracleホームも削除することをお薦めします(膨大な量のディスク・スペースを使用する場合があるため)。
以前のEnterprise Managerソフトウェアを削除するタイミングおよび様々な削除方法など、Enterprise Managerのアップグレードの詳細は、『Oracle Enterprise Manager Cloud Controlアップグレード・ガイド』を参照してください。