デフォルトのセキュリティ構成
システム・リソースのアクセス制御は、ログイン時の認証をユーザーに要求し、認証されたリソースにのみユーザーがアクセスできるよう制限することによって実現されます。
デフォルトのセキュリティ構成は、Publisherのインストール後すぐに使用可能であり、Oracle Fusion Middlewareセキュリティ・モデルを使用するように構成されています。Publisherは、Oracle WebLogic Serverドメインにインストールされ、そのドメインのセキュリティ・レルムを使用します。デフォルトの構成には、ユーザー・アイデンティティ、資格証明およびPublisher固有の権限付与が可能な3つの事前定義済セキュリティ・ストアが含まれています。ユーザーは、事前構成済のアプリケーション・ロールにマップされた事前定義済グループに追加できます。各アプリケーション・ロールは、特定のPublisher権限を付与するように事前構成されています。
Publisherのデフォルトのセキュリティ・ストアは、インストール時に次の表のように構成されます。
| ストア名 | 目的 | デフォルト・プロバイダ | オプション |
|---|---|---|---|
|
アイデンティティ・ストア |
|
|
Publisherが代替の認証プロバイダを使用するように構成できます。 |
|
ポリシー・ストア |
|
|
PublisherがOracle Internet Directoryをポリシー・ストア・プロバイダとして使用するように構成できます。 |
|
資格証明ストア |
提供された、またはシステムにより生成された、パスワードおよびその他のセキュリティ関連の資格証明を格納 |
|
PublisherがOracle Internet Directoryを資格証明ストア・プロバイダとして使用するように構成できます。 |
デフォルトのユーザーとグループ
管理ユーザーはOracle WebLogic Server管理コンソールを使用して、ユーザーとグループのデフォルト名を別の値に変更したり、新しい名前を追加することができます。
次の表には、Publisherのアイデンティティ・ストア・プロバイダのインストール後にそのプロバイダに追加されるデフォルトのユーザー名とパスワードがリストされています。
| デフォルトのユーザー名とパスワード | 目的 | 説明 |
|---|---|---|
|
名前: 管理者ユーザー パスワード: ユーザー指定 |
管理ユーザー |
このユーザー名はインストールを実行する人が入力し、任意の名前でもよく、管理者という名前である必要はありません。 インストール時に入力されたパスワードは、アイデンティティ・ストア・プロバイダの管理インタフェースを使用して後で変更できます。 この単一の管理ユーザーは、PublisherとOracle WebLogic Serverで共有されます。このユーザーは、インストール後にOracle WebLogic Serverのデフォルトの管理者グループのメンバーに自動的になります。これにより、このユーザーは、Oracle WebLogic Serverの埋込みディレクトリ・サーバーの管理など、Oracle WebLogic Serverのすべての管理タスクを実行できるようになります。 |
Publisherのインストール中にデフォルトのグループは作成されません。
デフォルトのアプリケーション・ロールと権限
Publisherの権限は特定のロール別に付与されます。権限は、グループやアプリケーション・ロールの階層から継承される場合もあります。
次の表は、これらの権限を付与するPublisherの権限とアプリケーション・ロールを示しています。このマッピングは、デフォルトのポリシー・ストアに存在します。
この表は、対応するデフォルトのアプリケーション・ロールのメンバーとなることで明示的に付与される権限を示しています。権限は、グループやアプリケーション・ロールの階層から継承される場合もあります。権限の継承の詳細は、「権限の付与と継承」を参照してください。
| Publisherの権限 | 説明 | 権限を明示的に付与するデフォルトのアプリケーション・ロール |
|---|---|---|
|
oracle.bi.publisher.administerServer |
「管理」ページにアクセスする管理リンクを有効にして、システム設定を行う権限を与えます。 重要: 共有フォルダのBIServiceAdministrator権限の付与に必要な追加ステップの詳細は、「BIServiceAdministratorロール・カタログ権限の付与」を参照してください。 |
BIServiceAdministrator |
|
oracle.bi.publisher.developDataModel |
データ・モデルを作成または編集する権限を付与します。 |
BIContentAuthor |
|
oracle.bi.publisher.developReport |
レポート、スタイル・テンプレート、およびサブ・テンプレートを作成または編集する権限を付与します。また、この権限によってPublisherサーバーにTemplate Builderから接続できるようになります。 |
BIContentAuthor |
|
oracle.bi.publisher.runReportOnline |
レポートを開き(実行し)、生成したドキュメントをレポート・ビューアに表示する権限を付与します。 |
BIConsumer |
|
oracle.bi.publisher.scheduleReport |
ジョブを作成または編集したり、ジョブを管理および参照する権限を付与したりします。 |
BIConsumer |
|
oracle.bi.publisher.accessReportOutput |
ジョブ履歴と出力を参照し管理する権限を付与します。 |
BIConsumer |
|
暗黙的に付与されるBIConsumer権限 |
認証ロールは、デフォルトではBIConsumerロールのメンバーであり、すべての認証ロール・メンバーには、BIConsumerロールの権限が暗黙的に付与されます。 |
認証済ロール |
認証ロールは、Oracle Fusion Middlewareセキュリティ・モデルで提供される特別なアプリケーション・ロールであり、このセキュリティ・モデルをデプロイするすべてのアプリケーションで使用できる必要があります。Publisherは、認証アプリケーション・ロールを使用して、その認証ロールがメンバーとして属しているロールおよびグループ階層により暗黙的に取得される権限を付与する必要があります。認証ロールは、デフォルトではBIConsumerロールのメンバーであり、すべての認証ロール・メンバーには、BIConsumerロールの権限が暗黙的に付与されます。デフォルトでは、すべての認証ユーザーは自動的にBIConsumersグループに追加されます。認証ロールはobiアプリケーション・ストライプに格納され、Publisherのポリシー・ストアでは検索できません。ただし、認証ロールはポリシー・ストアの管理インタフェースには表示されます。これをアプリケーション・ロールのリストで使用し、別のアプリケーション・ロールのメンバーとして追加することができます。認証ロールは、別のユーザー、グループまたはアプリケーション・ロールにマップできますが、認証ロール自体を削除することはできません。認証済ロールを削除すると、システムにログインできなくなり、この権利の明示的な付与が必要になります。
Oracle Fusion Middlewareのセキュリティ・モデルおよび認証済ロールの詳細は、『Oracle Platform Security Servicesによるアプリケーションの保護』を参照してください。
BIServiceAdministratorロールへのカタログ権限の付与
BIServiceAdministratorロールには、カタログの読取り権限のみがデフォルトで付与されます。
つまり、BIServiceAdministratorが共有フォルダを管理するには、BIServiceAdministratorロールに共有フォルダ・ノードの書込みおよび削除権限が付与されている必要があります。カタログにおける権限の付与の詳細は、「カタログ権限の付与」を参照してください。