Essbase 11gのユーザーとグループの移行
ここでは、ユーザーとグループの移行について説明します。ご使用のアイデンティティ・プロバイダやアプリケーションの詳細に応じて、タスク・フローは異なります。
前提条件と考慮事項
-
11gのEssbaseインスタンスで、ユーザーとグループをネイティブのEPM Shared Servicesに保管していた場合は、それらのユーザーとグループをエクスポートし、Essbase 21cのセキュリティ・プロバイダにインポートする必要があります。EPM Shared ServicesからWebLogic組込みLDAPに移行する場合は、エクスポートしたユーザーとグループのファイルの再フォーマットが必要になることがあります。
EPM Shared Servicesセキュリティは、Essbaseのお客様の中でも、EPMアプリケーションも使用し、EPMアプリケーションと「スタンドアロン」のEssbaseアプリケーションとの間でユーザーが重複しているお客様にのみお薦めします。EPMアプリケーションを使用しないEssbaseのお客様は、EPM Shared Servicesセキュリティではなく、デフォルトのWebLogicセキュリティを使用してEssbaseに移行することをお薦めします。WebLogicセキュリティは、多数の外部認証アイデンティティ・プロバイダと統合できます。WebLogic認証を参照してください。
-
既存のユーザーのフィルタと計算割当てを移行する場合は、Essbaseに同じ一連のユーザーとグループがすでに存在しているようにします。
-
ネイティブ(デフォルト)のアイデンティティ・プロバイダを使用している場合、Essbase 11g On-Premiseのユーザーとグループを移行するには、そのユーザーとグループをCSVファイルにエクスポートし、Essbase 21cをインストールして構成した後でインポートします。統合した/外部のプロバイダを使用している場合は、そのプロバイダをEssbase 21cと統合します。
-
ユーザー名をインポートするとき、名前の中に次の特殊文字を使用することはできません。
# ; , = + * ? [ ] |< > \ " ' / [Space] [Tab]
名前の長さは、50文字に制限されています。
シナリオ1 - Essbase 11gからのユーザー/グループのエクスポートとEPMセキュリティ・モードで構成されているEssbase 21cへのインポート
ユーザーとグループの移行のシナリオユーザー/グループのエクスポート
- ソースのEPMインスタンスでネイティブのShared Servicesディレクトリが使用されている場合は、Shared Services Consoleを使用してユーザーとグループをエクスポートします。ネイティブ・ディレクトリ(セキュリティ)の移行を参照してください。EPM Shared Servicesからのエクスポート時には、ユーザーとグループのみを選択し、ロールは移行しないでください。ユーザーのロールは、Essbase 11g LCMエクスポート・ユーティリティで移行します。
- ソースのShared Servicesインスタンスが外部セキュリティ・プロバイダを使用するように構成されている場合は、ユーザー/グループを明示的にエクスポートする必要はありません。
ユーザー/グループのインポート
- ターゲットのEPMインスタンスでネイティブのShared Servicesディレクトリを使用する場合は、Shared Services Consoleを使用してユーザーとグループをインポートします。
- ソースのEPMインスタンスが外部セキュリティ・プロバイダを使用するように構成されていた場合は(MSADなどのLDAPベースのユーザー・ディレクトリを使用している場合を含む)、同じプロバイダの詳細でターゲットのShared Servicesインスタンスを構成します。OID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成を参照してください。
Shared Services管理者のオプション
Essbase 11g On-PremiseインスタンスのShared Services管理者ユーザーを、認証にEPM Shared Servicesを使用するように構成されたEssbase 21cインスタンスにインポートする場合は、次の考慮事項が誤りを防ぐのに役立つ可能性があります。
ユーザーの移行ステップを行う前に、Essbase 21cでEPM Foundation専用インスタンスのShared Servicesが構成されているようにしてください。このShared Servicesインスタンスには、すでにShared Services管理者が存在しています。
注意:
ソースの11g EPMインスタンスのShared Services管理者がターゲットのEPM Foundation専用インスタンスで構成した管理者と同じでなく、Essbase 21cで構成したEPM Foundation専用のShared Servicesにユーザーをインポートする際にこのソース管理者をCSVファイルに含める場合、ターゲットのShared Services管理者は11gのShared Services管理者で上書きされます。この処理を行うには、次のいずれかのオプションを選択します。
-
11gの管理者のみを使用する
ソースのShared Services管理者がターゲットの管理者を上書きできるようにします。
- Shared Services管理者を含め、Essbase 11g On-PremiseのすべてのユーザーをCSVファイルにエクスポートします。
- すべてのユーザーをターゲットの空のEPM Foundation専用インスタンスにインポートします。
- ターゲット・インスタンスに11gのShared Services管理者としてログインし、ユーザーにロールと権限を割り当てます。ターゲット・インスタンスのShared Services管理者ユーザーは、ユーザーIDは同じものを保持しますが、パスワードはターゲット・インスタンスでの構成時に指定したものとなります。
-
ターゲットの管理者のみを使用する
11gのShared Services管理者をエクスポート・ファイルから削除することで、ターゲットの管理者は上書きされません。
- Shared Services管理者を含め、Essbase 11g On-PremiseのすべてのユーザーをCSVファイルにエクスポートします。
- エクスポートCSVファイルから、管理者が含まれる行を削除します。
- 残りのユーザーはターゲットの空のEPM Foundation専用インスタンスにインポートします。
- ターゲットのShared Services管理者としてログインし、ユーザーにロールと権限を割り当てます。
-
両方の管理者を維持する
11gのShared Services管理者をターゲットの管理者に影響を及ぼすことなく移行するには、次のステップを実行します。
- Shared Services管理者を含め、Essbase 11g On-PremiseのすべてのユーザーをCSVファイルにエクスポートします。
- CSVファイルを編集して、ソースのShared Services管理者に関連付けられているinternal_id値を削除します。そうすると、Shared ServicesとEssbaseの管理者ロールは削除されますが、ユーザーIDとパスワードはそのまま維持されます。
- ユーザーをターゲットのEPM Foundation専用インスタンスにインポートします。Shared Services管理者のユーザーIDが移行されますが、もう管理者ロールはありません。
- ターゲットのShared Services管理者としてログインし、移行したばかりの11gのShared Services管理者のユーザーIDに任意のロールを付与します。
シナリオ2 - Essbase 11gからのユーザー/グループのエクスポートとWebLogicセキュリティ・モードで構成されているEssbase 21cへのインポート
ユーザー/グループのエクスポート
- ソースのEPMインスタンスでネイティブのShared Servicesディレクトリが使用されている場合は、Shared Services Consoleを使用してユーザーとグループをエクスポートします。ネイティブ・ディレクトリ(セキュリティ)の移行を参照してください。
- ソースのShared Servicesインスタンスが外部セキュリティ・プロバイダを使用するように構成されている場合は、ユーザー/グループを明示的にエクスポートする必要はありません。
ユーザー/グループのインポート
-
EPM 11gインスタンスでネイティブのShared Servicesディレクトリを使用していた場合は、Shared Servicesからエクスポートしたファイルを、WebLogicセキュリティ・モードが理解できる形式に手動で変換する必要が生じる可能性があります。
- Shared Servicesによってエクスポートされたユーザー/グループのzipファイルを開き、
「resource\Native Directory\Users.csv」
と「resource\Native Directory\Groups.csv」
をターゲットの21cのファイルとして抽出します。 - 次のようにして手動でグループを追加します。ソースのEssbase 11g CSVファイルからユーザー・グループの関連付けを抽出し、ターゲットのEssbase 21c CSVファイルに追加して、その後でEssbase 21cインタフェースにインポートします。
- 上述のターゲットの21c CSVファイルの列を、ユーザーID、姓と名(オプション)、電子メール・アドレス(オプション)、パスワード(オプション)およびロール・タイプ(ユーザー、パワー・ユーザーまたはサービス管理者)が含まれる形式に手動で並べ替えます。
- 上述のターゲットのCSVファイルのロール・タイプ・フィールドには、「ユーザー」と指定してください。
- サービス管理者としてログインしたEssbase 21cインタフェースを使用して、変更したターゲットCSVファイルをインポートします。アプリケーションのホーム・ページ>「セキュリティ」>「インポート」の順に移動します。.csvファイルを参照し、「インポート」をクリックします。
- Shared Servicesによってエクスポートされたユーザー/グループのzipファイルを開き、
- ソースのEPMインスタンスが外部セキュリティ・プロバイダを使用するように構成されていた場合は、同じセキュリティ・プロバイダの詳細を使用してWebLogicを構成してください。認証プロバイダの構成を参照してください。
-
既存の11g Essbaseインスタンスで使用されるEPM Shared Servicesセキュリティでは、ユーザーとグループがネイティブのShared Servicesに保管されているか、外部のアイデンティティ・プロバイダに保管されています。
Essbase 21cの構成時に、組込みのWebLogicセキュリティかEPM Shared Servicesセキュリティのいずれかのセキュリティ・モードを選択しています。選択したセキュリティ・モードを問わず、Essbaseのユーザーとグループが外部のアイデンティティ・プロバイダに存在する場合は、Essbase 21cとそのプロバイダを統合する必要があります。WebLogic認証とEPM Shared Services認証、およびそのサブトピックで、外部アイデンティティ・プロバイダについて参照してください。
ノート:
EPM Shared ServicesからWebLogic Embedded LDAPに移行する場合は、エクスポートしたユーザーとグループのファイルを再フォーマットする必要が生じる可能性があります。ノート:
EPM Shared Servicesセキュリティは、Essbaseのお客様の中でも、EPMアプリケーションも使用し、EPMアプリケーションと「スタンドアロン」のEssbaseアプリケーションとの間でユーザーが重複しているお客様にのみお薦めします。EPMアプリケーションを使用しないEssbaseのお客様は、EPM Shared Servicesセキュリティではなく、デフォルトのWebLogicセキュリティを使用してEssbaseに移行することをお薦めします。WebLogicセキュリティは、多数の外部認証アイデンティティ・プロバイダと統合できます。WebLogic認証を参照してください。
アクセス用のユーザー名
EssbaseをWebLogicセキュリティ・モードで実行することを選択した場合、ユーザー・ロールの割当ての動作がEssbase 11g On-Premiseと異なります。現在は「データベース・アクセス」が最も低いロールであり、デフォルトですべてのセルのデータ値への読取りアクセスを持っています。データ値へのアクセスを制限するには、NONEフィルタを作成し、それをユーザーとグループに割り当てる必要があります。これは、「フィルタ」が最も低いロールであり、デフォルトですべてのセルのデータ値へのアクセス権を持たなかったEssbase 11g On-Premiseでは必要ありませんでした。
Essbaseのセキュリティ・アーティファクトのうち、Essbaseサーバーレベルのロール、アプリケーションレベルのロール、フィルタの関連付けおよび計算の関連付けは、11g LCMエクスポート・ユーティリティを使用して移行します。WebLogicセキュリティを使用するEssbaseインスタンスに移行することを選択した場合、LCMは対応する新規ロールを使用してユーザーとグループのプロビジョニングを処理します。なお、ターゲットのEssbaseインスタンスがEPM Shared Servicesセキュリティを使用するように構成され、11gの同じロールがEssbaseに残される場合は、このマッピングは適用されません。
表7-1 デフォルトのロール・マッピング
ソースの11g EPM Shared Servicesロール | ターゲットの21c WebLogic Embedded LDAPロール | レベル |
---|---|---|
管理者 | サービス管理者 | サーバー |
アプリケーション・マネージャ | アプリケーション・マネージャ | アプリケーション |
計算 | データベース更新 | アプリケーション |
アプリケーションの作成/削除 | パワー・ユーザー | サーバー |
データベース・マネージャ | データベース・マネージャ | アプリケーション |
フィルタ | データベース・アクセス | アプリケーション |
読取り | データベース・アクセス | アプリケーション |
サーバー・アクセス | ユーザー | サーバー |
書込み | データベース更新 | アプリケーション |
Essbase 11g On-Premiseの「フィルタ」ロールは、読取りアクセスを許可しませんが、フィルタによって制限されたメンバーによるアクセスは許可することにご注意ください。現在は「フィルタ」ロールがなく、すべてのメンバーに読取りアクセスを許可する「データベース・アクセス」が最も低いロール・アクセスとなります。選択したメンバーにアクセスを制限するには、グローバル・アクセスを制限するグループ・フィルタを使用します。
タスクに必要なアクセス権:
-
エクスポート: 作成されたアプリケーションに対して少なくとも「アプリケーション・マネージャ」ロールを持つユーザーが、アプリケーション、フォルダおよびアーティファクトをエクスポートできます。
さらに、すべてのアプリケーションに応じた「サービス管理者」ロールと、ユーザーが作成したアプリケーションのみに応じた「アプリケーションの作成/削除」ロールは、11g LCMエクスポート・ユーティリティと、そのロールに対応する操作を使用できます。
-
インポート: 少なくとも「パワー・ユーザー」ロール(WebLogicセキュリティ・モードの場合)または「アプリケーションの作成/削除」ロール(EPMセキュリティ・モードの場合)を持つユーザーは、インポート時にアプリケーションを作成し、アプリケーションを管理できます。
シナリオ3 - Essbase 11gからのユーザー/グループのエクスポートと、IDCSモードで構成されたEssbase 21cへのインポート