認可について
認可とは、操作や表示の権限が与えられているものを、ユーザーが操作し表示できるようにすることです。
ユーザーが認証された後、セキュリティの面で次に重要なのは、操作権限や表示権限が与えられているものを、ユーザーが操作し表示できるようにすることです。Oracle Analytics Serverでの認可は、アプリケーション・ロールで定義されたセキュリティ・ポリシーによって制御されます。
内容は次のとおりです。
アプリケーション・ロールについて
アプリケーション・ロールにより、ユーザーに対するセキュリティ・ポリシーを定義します。
ディレクトリ・サーバーにおけるグループ内のユーザーに関するセキュリティ・ポリシーを定義するかわりに、Oracle Analytics Serverはロールベースのアクセス制御モデルを使用します。セキュリティは、ディレクトリ・サーバー・グループおよびユーザーに割り当てられているアプリケーション・ロールによって定義されます。たとえば、アプリケーション・ロールBIServiceAdministrator、BI ConsumerおよびBIContentAuthorなどです。
アプリケーション・ロールは、ユーザーがその役割を果すために必要な権限をユーザーに付与する機能的役割を表します。たとえば、セールス・アナリストのアプリケーション・ロールにより、会社のセールス・パイプラインに関するレポートを表示、編集および作成するためのユーザー・アクセスが許可されます。
アプリケーション・ロールとディレクトリ・サーバーのユーザーおよびグループとの間の間接層により、管理者は、企業のLDAPサーバーに新しいユーザーやグループを作成することなく、アプリケーション・ロールおよびポリシーを定義できます。かわりに、管理者は、認可要件を満たすアプリケーション・ロールを定義し、企業のLDAPサーバーに前から存在しているユーザーやグループにこれらのロールを割り当てます。
さらに、アプリケーション・ロールによって提供される間接層により、アーティファクトを、開発、テスト、本番の各環境間で移動できます。環境の移動に伴うセキュリティ・ポリシーの変更は必要なく、ターゲット環境で使用可能なユーザーおよびグループにアプリケーション・ロールを割り当てることのみが必要です。
たとえば、次の図に、グループ、ユーザー、アプリケーション・ロール、権限および継承のセットを示します。
この図には次のことが示されています。
-
BI Consumers Groupという名前のグループには、User1、User2およびUser3.が含まれています。BI Consumers Groupのユーザーには、ユーザーがレポートを表示できるようにするアプリケーション・ロール(BIコンシューマ)が割り当てられます。
-
BI Content Authors Groupという名前のグループには、User4およびUser5.が含まれています。BI Content Authors Groupのユーザーには、ユーザーがレポートを作成できるようにするアプリケーション・ロール(BIコンテンツ作成者)が割り当てられます。
-
BI Service Administrators Groupという名前のグループには、User6およびUser7.が含まれています。BI Service Administrators Groupのユーザーには、ユーザーがリポジトリを管理できるようにするアプリケーション・ロール(BIサービス管理者)が割り当てられます。
セキュリティ・ポリシーについて
セキュリティ・ポリシーは、プレゼンテーション・サービス、メタデータ・リポジトリおよびポリシー・ストアに分割されています。
プレゼンテーション・サービス
プレゼンテーション・サービスでは、ユーザーが特定のアプリケーション・ロールによりアクセスできる特定のカタログ・オブジェクトおよび機能を定義します。機能へのアクセスは権限の管理ページで定義し、カタログ・オブジェクトへのアクセスは「権限」ダイアログで定義します。
メタデータ・リポジトリ
リポジトリでは、ユーザーが特定のアプリケーション・ロールによりアクセスできるリポジトリ内のメタデータ・アイテムを定義します。Oracle BI管理ツールを使用して、セキュリティ・ポリシーを定義できます。
ポリシー・ストア
ポリシー・ストアでは、ユーザーが特定のアプリケーション・ロールによりアクセスできるBIサーバーおよびパブリッシャの機能を定義します。デフォルトのOracle Analytics Server構成では、ポリシー・ストアは、権限付与および取消しスクリプトを使用して、またはOracle WebLogic Scripting Tool (WLST)を使用して管理されます。