PublisherでのLDAPの使用方法

PublisherでLDAPプロバイダを使用する場合、認証専用または認証および認可の両方に対応できます。

ノート:

Publisherではデフォルトで、Publisher固有のロールがユーザーに割り当てられていない場合でも、すべてのLDAPユーザーがシステムにログインできます。ユーザーはロールを必要とする機能(レポートやデータ・モデルの作成など)は実行できませんが、カタログ・オブジェクトに対して権限が割り当てられるロール(移動やオープンなど)を割り当てられているユーザーは、該当するタスクを実行できます。

Publisherロールが割り当てられている場合を除き、ユーザーがPublisherにログインできないようにするには、「Publisher固有のロールを持たないユーザーのログイン無効化」を参照してください。

認証専用にLDAPプロバイダを使用するためのPublisherの構成

認可用の別のセキュリティ・モデルと組み合せてLDAPプロバイダを認証に使用するようにPublisherを構成します。

「管理」ページの「セキュリティ・センター」,で、「セキュリティ構成」をクリックします。
ローカル・スーパーユーザーを作成します。

スーパーユーザー名とパスワードを入力し、「ローカル・スーパーユーザーの有効化」チェック・ボックスを選択します。ローカル・スーパーユーザーを有効化すると、セキュリティ・モデルの構成エラーが発生した場合でも、Publisherの「管理」ページにアクセスできます。
「認証」リージョンまでスクロールします。「LDAPの使用」チェック・ボックスを選択します。
次のように入力します。
- URL
  
  たとえば: ldap://example.com:389/
  
  SSL経由でLDAPを使用している場合は、次のことに注意してください。
  - プロトコルはldapsです
  - デフォルト・ポートは636です。
  URLはたとえばldaps://example.com:636/のようになります
- LDAPサーバーの「管理者ユーザー名」と「パスワード」
  
  ここに入力する管理者ユーザーは、XMLP_ADMINグループのメンバーにもなっている必要があります。
- ユーザーの識別名
  
  たとえば: cn=Users,dc=example,dc=com
  
  識別名の値では大文字と小文字が区別されるので、LDAPサーバーの設定と一致させる必要があります。
- JNDIコンテキスト・ファクトリ・クラス
  
  デフォルト値は、com.sun.jndi.ldap.LdapCtxFactoryです。
- ログイン・ユーザー名に使用される属性
  
  ログイン・ユーザー名の値を指定する属性を入力します。これは、相対識別名(RDN)としても知られています。この値のデフォルト値はcnです。
- 認可システムと一致するユーザーに使用する属性 - ユーザーを認可システムと照合する値を提供する属性を入力します。たとえば、orcleguidです。
「適用」をクリックします。
Publisherサーバーを再起動します。

認証および認可にLDAPプロバイダを使用するためのPublisherの構成

PublisherをLDAPプロバイダと統合して、ユーザーとレポートのアクセス権を管理できます。

LDAPサーバー内にユーザーとロールを作成し、LDAPサーバーにアクセスするようにPublisherサーバーを構成します。

Publisherのセキュリティ・センター・モジュールで、これらのロールにフォルダを割り当てます。サーバーにログインしたユーザーは、LDAPロールに割り当てられているフォルダおよびレポートにアクセスできます。

PublisherをOracle LDAPと統合する場合、3つの主要なタスクがあります。

LDAPプロバイダでのユーザーとロールの設定
LDAPサーバーを認識するようにするためのPublisherの構成
ロールへのカタログ権限とデータ・アクセス権の割当て

LDAPプロバイダでのユーザーとロールの設定

LDAPプロバイダでこの手順を実行する必要があります。この手順の実行方法の詳細は、プロバイダのドキュメントを参照してください。

ユーザーおよびロールを設定するには:

LDAPプロバイダのドメイン・ルート・ノードで、ロールを作成してPublisherと統合します。必要な機能ロールの詳細は、「Publisherのユーザー、ロールおよび権限の概要」を参照してください。
- XMLP_ADMIN - Publisherの管理者ロール。LDAPサーバーへのアクセスに使用する管理者アカウントにXMLP_ADMINグループを割り当てる必要があります。
- XMLP_DEVELOPER - レポートとデータ・モデルを作成および編集できるロール。
- XMLP_SCHEDULER - レポートをスケジュールできるロール。
- XMLP_TEMPLATE_DESIGNER - Template Builder for WordからPublisherに接続してテンプレートのアップロードとダウンロードができるロール。Publisherレイアウト・エディタを使用してレイアウトを設計できるロール。
実装内容に応じて、その他の機能ロール(たとえば: HRマネージャ、倉庫担当者または営業マネージャ)を作成し、適切なPublisher機能ロールを割り当てます。
ロールをユーザーに割り当てます。

ノート:

管理者アカウントには必ずXMLP_ADMINロールを割り当ててください。

LDAPサーバーを認識するようにするためのPublisherの構成

LDAPサーバーを認識するようにPublisherを構成するには、Publisherの「管理」ページでセキュリティ・プロパティを次のように更新します。

ノート:

Publisher設定の値を入力する前に、サイトのLDAPサーバー構成を理解していることを確認してください。

LDAPサーバーを使用するようにPublisherを構成するには:

「管理」ページの「セキュリティ・センター」,で、「セキュリティ構成」をクリックします。
ローカル・スーパーユーザーを作成します。

スーパーユーザー名とパスワードを入力し、「ローカル・スーパーユーザーの有効化」チェック・ボックスを選択します。ローカル・スーパーユーザーを有効化すると、セキュリティ・モデルの構成エラーが発生した場合でも、Publisherの「管理」ページにアクセスできます。
「認可」リージョンまでスクロールします。「セキュリティ・モデル」として「LDAP」を選択します。
次のように入力します。
- URL
  
  たとえば: ldap://example.com:389/
  
  SSL経由でLDAPを使用している場合は、次のことに注意してください。
  - プロトコルはldapsです。
  - デフォルト・ポートは636です。
  たとえば: ldaps://example.com:636/
- LDAPサーバーの「管理者ユーザー名」と「パスワード」
  
  ここに入力する管理者ユーザーは、XMLP_ADMINグループのメンバーにもなっている必要があります。
- ユーザーの識別名
  
  たとえば: cn=Users,dc=example,dc=com
  
  識別名の値では大文字と小文字が区別されるので、LDAPサーバーの設定と一致させる必要があります。
- グループの識別名
  
  たとえば: cn=Groups,dc=us,dc=oracle,dc=com
  
  デフォルト値は、cn=OracleDefaultDomain,cn=OracleDBSecurity,cn=Products,cn=OracleContext,dc=example,dc=comです。
- グループ検索フィルタ
  
  デフォルト値は、(&(objectclass=groupofuniquenames)(cn=*))です。
- グループ属性名
  
  デフォルト値は、cnです。
- グループ・メンバー属性名
  
  デフォルト値は、uniquememberです。
- グループのメンバー属性名
  
  (オプション)この属性は、ユーザーとグループでmemberOf属性を使用できる場合にのみ設定します。この属性を使用できる場合は、「グループ・メンバー属性」の指定は不要です。たとえば、memberOfやwlsMemberOfなどです。
- グループ説明属性名
  
  デフォルト値はdescriptionです。
- JNDIコンテキスト・ファクトリ・クラス
  
  デフォルト値は、com.sun.jndi.ldap.LdapCtxFactoryです。
- グループ取得ページ・サイズ
  
  この値を設定すると、検索結果の単純なページング処理でLDAPv3制御拡張機能をサポートできます。デフォルトでは、Publisherサーバーはページ区切りを使用しません。この値により、1ページに返される結果の数(たとえば、200)が決まります。この機能をサポートするには、LDAPサーバーがコントロール・タイプ1.2.840.113556.1.4.319(Oracle Internet Directory 10.1.4など)をサポートしている必要があります。値を入力する前に、この制御タイプのサポートの詳細を、ご使用のLDAPサーバーのドキュメントを参照してください。
- ログイン・ユーザー名に使用される属性
  
  ログイン・ユーザー名の値を指定する属性を入力します。これは、相対識別名(RDN)としても知られています。この値のデフォルト値はcnです。
- LDAPキャッシュを自動的にクリア - 指定した間隔でLDAPキャッシュの自動リフレッシュをスケジュールするには、このボックスを選択します。このボックスを選択すると、次のフィールドが追加で有効になります。
  - 「LDAPキャッシュ間隔」に整数を入力します。たとえば、LDAPキャッシュを1日に1回クリアするには、1を入力します。
  - 「LDAPキャッシュ間隔単位」で、「日」、「時間」または「分」を選択します。
- デフォルトのユーザー・グループ名
  
  (オプション)フォルダ、レポートまたはその他のカタログ・オブジェクトのセットへのアクセスをすべての認証ユーザーに許可するための要件がサイトに備わっている場合は、このオプションを使用します。ここに入力するユーザー・グループ名は、すべての認証ユーザーに追加されます。このデフォルトのユーザー・グループに割り当てるカタログ権限やデータソース権限は、すべてのユーザーに付与されます。
- データ問合せバインド変数の属性名
  
  (オプション)データ問合せでバインド変数として使用される属性値を設定するには、このプロパティを使用します。LDAP属性名を複数入力する場合は、memberOf, primaryGroupID, mailのようにカンマで区切って入力します。
「適用」をクリックします。Publisherを再起動します。

次の図に、「セキュリティ構成」ページのLDAPセキュリティ・モデルの入力フィールドの例を示します。

図xdo11g_sec_ldap.gifの説明

SSL経由でLDAPを使用するようにPublisherを構成する場合は、Javaキーストアを構成してサーバー証明書をJVMに追加することも必要です。「Secure Socket Layer (SSL)通信用のPublisherの構成」を参照してください。

ロールへのデータ・アクセス権およびカタログ権限の割当て

「管理」ページで、データ・アクセス権とカタログ権限をロールに割り当てます。

ロールにデータ・アクセス権およびカタログ権限を割り当てるには:

LDAPプロバイダでXMLP_ADMINロールが割り当てられているユーザーとして、Publisherにログインします。
「管理」ページで、「ロールと権限」をクリックします。
LDAPプロバイダで作成し、XMLP_の各種ロールを割り当てたロールが表示されます。次の点に注意してください。
- XMLP_Xロールは、LDAPインタフェースを介して制御されるため表示されません。
- 「ユーザー」タブは、「セキュリティ・センター」で使用できなくなりました。ユーザーはLDAPインタフェースで管理します。
- ロールは、Publisherインタフェースでは更新できません。ただし、データソースの追加は可能です。
「データソースの追加」をクリックしてPublisherデータソースをロールに追加します。データソースからレポートを実行したりデータ・モデルを構築するためには、そのデータソースに対するアクセス権がロールに割り当てられている必要があります。詳細は、「データ・アクセス権の付与」を参照してください。
カタログ権限をロールに付与します。ロールへのカタログ権限の付与の詳細は、「カタログ権限について」および「カタログ権限の付与」を参照してください。

これで、LDAPユーザー名とパスワードを使用して、ログインできるようになりました。

Publisher固有のロールを持たないユーザーのログイン無効化

Publisher固有のロールを持たないユーザーがPublisherサーバーにログインできないようにするには、xmlp-server-config.xmlファイルで構成プロパティを設定します。

xmlp-server-config.xmlファイルは、次の場所にあります。

$DOMAIN_HOME/config/fmwconfig/biconfig/bipublisher/Admin/Configuration/xmlp-server-config.xml

xmlp-server-config.xmlファイルに、次のプロパティと設定を追加します。

<property name="REQUIRE_XMLP_ROLE_FOR_LOGIN" value="true"/>