1. Oracle Enterprise Data Qualityの保護
  2. EDQセキュリティについて

1 EDQセキュリティについて

この章では、Enterprise Data Quality (EDQ)で使用される主要なセキュリティの概念について説明します。内容は次のとおりです。
  • EDQセキュリティの概要
    EDQ内のセキュリティが適用されるのは、アプリケーションにアクセスする場合(権限のあるユーザーのみをアクセス可能とし、アプリケーション内のデータを確実に保護するため)と、異常な事態を識別する目的でユーザー・アクションを監査する場合です。
  • EDQユーザー・グループ
    EDQに対するすべての権限は、ユーザー・グループ(内部グループ)に付与された権限のセットを使用して割り当てられます。WebLogic、Active Directory、代替LDAPプロバイダなどでユーザーが外部的に管理される場合、そのディレクトリの外部グループをこれらの内部グループにマップすることで権限が付与されます。
  • EDQ権限
    EDQには、次に示すとおり、4つの権限タイプがあります。権限は、EDQユーザー・グループ(これらはさらに外部ユーザー・グループにマップされます)を介してユーザーに付与されます。
  • デフォルトのEDQグループおよび権限
    次に、デフォルトのグループおよびその権限のサマリーを示します。
  • デフォルトの管理者ユーザー・アカウント
    WebLogic ServerへのEDQのインストール時に、weblogic管理者ユーザー・アカウント(通常、ドメインの作成時に選択したパスワードを持つ'weblogic'です)は、WebLogicの管理者グループのメンバーとなり、これは「EDQホーム」構成ディレクトリのデフォルトのlogin.propertiesファイルを介してEDQの管理者グループにマップされます。
  • EDQグループへの外部グループのマッピング
    外部グループは、EDQ Launchpadの管理ページから内部EDQグループにマップします。外部グループには、マップ先のすべてのEDQグループのすべての権限が付与されます。
  • このガイドで使用される用語
    この項では、このガイドで使用される用語について説明します。

EDQセキュリティの概要

EDQ内のセキュリティが適用されるのは、アプリケーションにアクセスする場合(権限のあるユーザーのみをアクセス可能とし、アプリケーション内のデータを確実に保護するため)と、異常な事態を識別する目的でユーザー・アクションを監査する場合です。

このガイドの内容は次のとおりです。

  • セキュアなアクセス制御の提供

  • 安定時およびトランスポート時のデータの保護。

  • ユーザー・アクティビティの安全なロギングおよびトレースを保証するための適切なセキュリティ監査機能の提供。

詳細は、『Oracle Enterprise Data Qualityの理解』のOracle Enterprise Data Qualityについてに関する項を参照してください。

親トピック: EDQセキュリティについて

認証

EDQのユーザーおよびグループの詳細は、その独自の内部ディレクトリ内に格納するか、Microsoft Active Directoryなどの外部LDAPサーバーから取得することができます。外部認証ソースを使用すると、EDQでは、他のシステムとユーザー資格証明を共有し、ユーザーが記憶して管理する必要のあるパスワードの数を削減しながら、ユーザーとグループの管理におけるオーバーヘッドを排除できます。

親トピック: EDQセキュリティの概要

認可

認可によって、認証に成功したユーザーが実行できることを制御します。ユーザーの認可は、ユーザーのモデルと、グループに関連付けられた権限に基づきます。ユーザーは、1つ以上のグループのメンバーであり(直接割当て、または外部グループの内部グループへのマップによって割当て)、そのグループに関連付けられた権限に従って認可されます。

親トピック: EDQセキュリティの概要

暗号化

WebLogicおよびTomcatサーバーの両方で、HTTPSがサポートされ、送信中に読取りまたは変更できないようにクライアントとEDQ間のトラフィックを暗号化する必要があります。HTTPSを選択できない環境では、EDQによって、クライアントとサーバー間で送信されるパスワードが暗号化されます。

親トピック: EDQセキュリティの概要

監査

EDQでは、Oracle Fusion Middleware監査フレームワークを使用したユーザー・アクションの監査がサポートされます。また、ファイルに監査情報を書き込むようにEDQを構成できます。

親トピック: EDQセキュリティの概要

EDQユーザー・グループ

EDQに対するすべての権限は、ユーザー・グループ(内部グループ)に付与された権限のセットを使用して割り当てられます。WebLogic、Active Directory、代替LDAPプロバイダなどでユーザーが外部的に管理される場合、そのディレクトリの外部グループをこれらの内部グループにマップすることで権限が付与されます。

その後、外部グループのユーザーには、外部グループのマップ先となる1つ以上の任意のグループに基づいて権限が割り当てられます。ユーザーがEDQの内部レルムで管理される場合、それらのユーザーは、1つ以上の内部グループの直接メンバーとなるため、関連する権限が割り当てられます。

親トピック: EDQセキュリティについて

EDQ権限

EDQには、次に示すとおり、4つの権限タイプがあります。権限は、EDQユーザー・グループ(これらはさらに外部ユーザー・グループにマップされます)を介してユーザーに付与されます。

親トピック: EDQセキュリティについて

アプリケーション権限

これらは、EDQユーザー・アプリケーション(ディレクタ、サーバー・コンソール、ケース管理など)へのログイン・アクセス権をユーザーのグループに付与(または拒否)する単純な権限です。

親トピック: EDQ権限

機能権限

これらは、システムの特定の機能(ディレクタで参照データ・セットを変更する機能や、ケース管理でケースの状態またはアラートを変更する機能など)にアクセスするための権限です。

親トピック: EDQ権限

動的権限(ケース管理)

これらの権限は、ケース管理の管理での構成に従って、ケース管理ワークフロー内で動的に作成されます。動的権限は、特定のケースやアラートへのアクセス、またはケースのコメントや添付へのアクセスを制限するために使用されます。

親トピック: EDQ権限

プロジェクト権限

デフォルトでは、ディレクタで作成されるプロジェクトには、すべてのユーザー・グループがアクセスできます。ただし、より小規模なグループのセットにプロジェクトを制限することもできます。この場合、プロジェクトへのアクセス権を持っているグループ以外のユーザーは、誰もそのプロジェクトを参照または使用できません。

ノート:

ディレクタでプロジェクトを追加できるユーザーには、自動的にすべてのプロジェクトに対するアクセス権が付与されます。

親トピック: EDQ権限

デフォルトのEDQグループおよび権限

次に、デフォルトのグループおよびその権限のサマリーを示します。

各グループに付与されている正確な権限セットの詳細を参照するには、管理者としてログインした後に、EDQ Launchpadの「管理」→「グループ」オプションからグループを選択し、「編集」ボタンをクリックします。

表1-1 様々なユーザー・グループの権限

グループ サマリー 機能権限 アプリケーション権限

管理者

すべての機能権限と管理権限を持つパワー・ユーザー

すべて

動的ケース管理権限は自動的に管理者に付与されません

すべて

データ・スチュワード

ディレクタおよびダッシュボードへのレビュー・アクセス権を持ち、すべての結果のレビュー、問題の解決、および手動照合とマージ済出力決定を実行する権限を付与されているが、処理ロジックを作成または変更する権限は持たないユーザー

ディレクタに対する読取り専用権限

一致レビューに対する完全な権限

ダッシュボード

ディレクタ

一致レビュー

問題マネージャ

ケース管理

サーバー・コンソール

エグゼクティブ

ダッシュボード結果のみに対するアクセス権を持つユーザー

ダッシュボード: ダッシュボードの表示

ダッシュボード

一致レビューア

一致レビュー・アプリケーション、ケース管理アプリケーションおよびダッシュボードのみに対するアクセス権を持つユーザー

基本的なケース管理権限(一括更新はなく、他のユーザーに割り当てられたケースは参照できません)

ダッシュボード: ダッシュボードの表示

一致レビュー

問題マネージャ

ケース管理

ダッシュボード

レビュー・マネージャ

ケース管理アプリケーションへのアクセス権を持ち、ケース管理を構成し、ケースとアラートの一括編集を実行する権限を付与されたユーザー。

完全なケース管理権限(監査証跡アクティビティの削除と編集を除く)

ケース管理

ダッシュボード

データ・アナリスト

ディレクタで処理ロジックを作成および変更する権限を持つが、管理権限を持たないユーザー

ディレクタに対する完全なアクセス権(システム・レベル(クロス・プロジェクト)構成を変更し、ユーザー・データ・ストアにアクセスする権限を除く)。

ディレクタ

サーバー・コンソール

一致レビュー

ケース管理

問題マネージャ

親トピック: EDQセキュリティについて

デフォルトの管理者ユーザー・アカウント

WebLogic ServerへのEDQのインストール時に、weblogic管理者ユーザー・アカウント(通常、ドメインの作成時に選択したパスワードを持つ'weblogic'です)は、WebLogicの管理者グループのメンバーとなり、これは「EDQホーム」構成ディレクトリのデフォルトのlogin.propertiesファイルを介してEDQの管理者グループにマップされます。

これにより、weblogicユーザーと、WebLogic管理者グループの他のユーザーに、EDQへの管理アクセス権が付与されます。

ノート:

このマッピングは固定的で、初期アクセス権の付与のみを目的としているため、実際に必要な権限は、外部グループを内部グループにマップすることで設定できます(「外部グループのEDQグループへのマップ」を参照してください)

TomcatへのEDQのインストール時には、'dnadmin'というデフォルトの内部管理者ユーザー・アカウントが作成されます。このユーザーの初期パスワードも'dnadmin'ですが、初回のログイン後によりセキュアなパスワードに変更する必要があります。これらのインストールでは、デフォルトで管理権限を持つユーザー・アカウントは1つのみであり、システムにアクセスできなくなる可能性があるため、そのユーザーを削除したり、パスワードを忘れることがないように注意してください。

親トピック: EDQセキュリティについて

外部グループのEDQグループへのマップ

外部グループは、EDQ Launchpadの管理ページから内部EDQグループにマップします。外部グループには、マップ先のすべてのEDQグループのすべての権限が付与されます。

外部グループを内部EDQグループにマップするには、次のステップを実行します。

  1. 管理者としてEDQ Launchpadにログインします。
  2. 「管理」ドロップダウン・リンクをクリックし、「外部グループ」をクリックします。
  3. 外部レルムの名前(デフォルト・システムでは'ORACLE')を展開し、グループをクリックしてそのマッピングを編集します。
  4. 外部グループに割り当てるEDQグループを選択し、「保存」をクリックして変更内容を保存します。

最適な権限割当てを確保するには、内部EDQグループに正確にマップできる外部グループをドメインに作成することが有益で、推奨されます。

ノート:

多数の外部グループが存在するインストールでは、ローカルのlogin.propertiesファイルにオプション・フィルタを指定して、この画面で使用できるグループのリストを絞り込むことができます。詳細は、「グループのフィルタ」

を参照してください。

親トピック: EDQセキュリティについて

このガイドで使用される用語

この項では、このガイドで使用される用語について説明します。

このガイドで使用される用語は次のとおりです。

  • AD – Active Directory

  • 証明書 - 通常はX.509証明書を指します

  • Kerberos - ネットワーク認証プロトコル

  • LDAP - Lightweight Directory Access Protocol

  • OID - Oracle Internet Directory

  • OPSS - Oracle Platform Security Services

  • SSL - Security Sockets Layerの略称で、アプリケーション・トラフィックをトランスポートできる暗号化された接続用のプロトコル。TLSで置換されましたが、SSLはまだ一般的な用語として使用されています。

  • TLS - Transport Layer Securityの略称で、SSLの後継。

  • WLS – WebLogic Server

  • X.509証明書 - 指定されたエンティティ(個人、組織、サーバーまたはその他のエンティティ)が公開キーに一致する秘密キーを持っていることを証明するために信頼できる機関(認証局)から発行される証明書。

親トピック: EDQセキュリティについて