Obiee-security
OBIEE –セキュリティ
OBIEEセキュリティは、ロールベースのアクセス制御モデルを使用して定義されます。 これは、異なるディレクトリ*サーバーグループとユーザー*に合わせたロールの観点から定義されています。 この章では、*セキュリティポリシー*を構成するために定義されたコンポーネントについて説明します。
次のコンポーネントで*セキュリティ構造*を定義できます
- 認証プロバイダー*によって管理されるディレクトリ*サーバーユーザーおよびグループ。
- *ポリシーストア*によって管理されるアプリケーションロールは、セキュリティカタログに次のコンポーネントを提供します:プレゼンテーションカタログ、リポジトリ、ポリシーストア。
セキュリティプロバイダー
セキュリティプロバイダーは、セキュリティ情報を取得するために呼び出されます。 OBIEEでは次のタイプのセキュリティプロバイダーが使用されます-
- ユーザーを認証する認証プロバイダー。
- ポリシーストアプロバイダは、BIプレゼンテーションサービスを除くすべてのアプリケーションに特権を与えるために使用されます。
- 資格情報ストアプロバイダーは、BIアプリケーションによって内部的に使用される資格情報を格納するために使用されます。
セキュリティポリシー
OBIEEのセキュリティポリシーは、次のコンポーネントに分かれています-
- プレゼンテーションカタログ
- リポジトリ
- ポリシーストア
プレゼンテーションカタログ
カタログオブジェクトとOracle BIプレゼンテーションサービス機能を定義します。
Oracle BIプレゼンテーションサービス管理
ビューの編集やエージェントやプロンプトの作成などの機能にアクセスするための特権をユーザーに設定できます。
Permission Catalogで定義されたプレゼンテーションカタログオブジェクトへのプレゼンテーションカタログ特権アクセス。
Presentation Services管理には独自の認証システムがなく、Oracle BIサーバーから継承する認証システムに依存しています。 Presentation Servicesにサインインするすべてのユーザーには、認証ユーザーのロールと、Fusion Middleware Controlで割り当てられたその他のロールが付与されます。
次のいずれかの方法で権限を割り当てることができます-
- アプリケーションの役割へ-許可と権限を割り当てる最も推奨される方法。
- 個々のユーザー-これは、特定のユーザーにアクセス許可と特権を割り当てることができる場所の管理が困難です。
- カタロググループ-下位互換性維持のために以前のリリースで使用されていました。
リポジトリ
これにより、リポジトリ内のメタデータのアイテムにアクセスできるアプリケーションロールとユーザーが定義されます。 セキュリティマネージャを介してOracle BI管理ツールが使用され、次のタスクを実行することができます-
- ビジネスモデル、テーブル、列、およびサブジェクトエリアの権限を設定します。
- 各ユーザーのデータベースアクセスを指定します。
- ユーザーがアクセスできるデータを制限するフィルターを指定します。
- 認証オプションを設定します。
ポリシーストア
特定のユーザーまたは特定のアプリケーションロールを持つユーザーがアクセスできるBIサーバー、BI Publisher、およびリアルタイム決定機能を定義します。
認証と承認
認証
Oracle WebLogic Serverドメインの認証プロバイダは、ユーザー認証に使用されます。 この認証プロバイダは、Oracle Business IntelligenceのOracle WebLogic ServerドメインのLDAPサーバーに格納されているユーザーおよびグループ情報にアクセスします。
LDAPサーバーでユーザーおよびグループを作成および管理するには、Oracle WebLogic Server管理コンソールを使用します。 代替ディレクトリの認証プロバイダーを構成することもできます。 この場合、Oracle WebLogic Server管理コンソールを使用すると、ディレクトリ内のユーザーおよびグループを表示できます。ただし、適切なツールを引き続き使用して、ディレクトリを変更する必要があります。
例-OIDを使用するようにOracle Business Intelligenceを再構成する場合、Oracle WebLogic Server管理コンソールでユーザーとグループを表示できますが、OIDコンソールでそれらを管理する必要があります。
承認
認証が完了したら、セキュリティの次のステップは、ユーザーが実行できることを確認し、実行が許可されていることを確認することです。 Oracle Business Intelligence 11gの認可は、アプリケーションの役割に関するセキュリティポリシーによって管理されます。
アプリケーションの役割
セキュリティは、通常、ディレクトリサーバーのユーザーとグループに割り当てられるアプリケーションロールの観点から定義されます。 例:デフォルトのアプリケーションロールは、 BIAdministrator 、 BIConsumer 、および BIAuthor です。
アプリケーションロールは、ユーザーに割り当てられた機能的なロールとして定義され、そのユーザーにそのロールを実行するために必要な特権を与えます。 例:マーケティングアナリストアプリケーションロールは、ユーザーに会社のマーケティングパイプラインのレポートを表示、編集、作成するためのアクセスを許可します。
アプリケーションロールとディレクトリサーバーのユーザーおよびグループ間のこの通信により、管理者は、LDAPサーバーに追加のユーザーまたはグループを作成することなく、アプリケーションロールおよびポリシーを定義できます。 アプリケーションロールにより、ビジネスインテリジェンスシステムを開発、テスト、および運用環境間で簡単に移動できます。
これにはセキュリティポリシーの変更は必要ありません。必要なのは、ターゲット環境で利用可能なユーザーとグループにアプリケーションロールを割り当てることだけです。
「BIConsumers」という名前のグループには、user1、user2、およびuser3が含まれています。 グループ「BIConsumers」のユーザーには、アプリケーションロール「BIConsumer」が割り当てられます。これにより、ユーザーはレポートを表示できます。
「BIAuthors」という名前のグループには、user4とuser5が含まれています。 グループ「BIAuthors」のユーザーには、アプリケーションロール「BIAuthor」が割り当てられます。これにより、ユーザーはレポートを作成できます。
「BIAdministrators」という名前のグループには、user6とuser7、user 8が含まれます。 グループ「BIAdministrators」のユーザーには、アプリケーションロール「BIAdministrator」が割り当てられます。これにより、ユーザーはリポジトリを管理できます。