Comments
Description
Transcript
EPM Systemの構成
Oracle® Enterprise Performance Management System Security Configuration Guide リリース 11.1.2.4 2014 年 5 月 著作権情報 Security Configuration Guide, Copyright © 2005, Oracle and/or its affiliates. All rights reserved. 著者: EPM 情報開発チーム OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者 の商標または登録商標です。 Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに 使用し、SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴ は、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。 このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する 法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合 を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実 行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは 互換性のために法律によって規定されている場合を除き、禁止されています。 ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見 つけた場合は、オラクル社までご連絡ください。 このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ド キュメントをライセンスされた者に提供する場合は、次の通知が適用されます。 U.S. GOVERNMENT END USERS: Oracle programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs, including any operating system, integrated software, any programs installed on the hardware, and/or documentation, shall be subject to license terms and license restrictions applicable to the programs. No other rights are granted to the U.S. Government. このソフトウェアもしくはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。 このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーション を含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで 使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じること は使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して 損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。 このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれ らに関する情報を提供することがあります。オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスに関 して一切の責任を負わず、いかなる保証もいたしません。オラクル社およびその関連会社は、第三者のコンテンツ、製品、 サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。 目次 ドキュメントのアクセシビリティについて ............................................................................................. 7 ドキュメントのフィードバック .............................................................................................................. 8 第1章. EPM Systemセキュリティについて ....................................................................................... 9 EPM Systemについて ............................................................................................................... 9 必要な知識 ............................................................................................................................... 9 セキュリティ・インフラストラクチャのコンポーネント .......................................................................... 10 ユーザー認証 ........................................................................................................................... 10 認証コンポーネント ........................................................................................................... 10 デフォルトのEPM Systemシングル・サインオン ................................................................... 11 アクセス管理システムからのシングル・サインオン .................................................................. 12 プロビジョニング(役割ベースの認証) .......................................................................................... 14 役割 .............................................................................................................................. 15 ユーザー .......................................................................................................................... 15 グループ ......................................................................................................................... 17 Shared Services Consoleの起動 ............................................................................................ 17 第2章. EPM SystemコンポーネントのSSL使用可能化 .................................................................. 19 前提 ...................................................................................................................................... 情報ソース .............................................................................................................................. 場所のリファレンス ................................................................................................................... EPM System製品のSSL使用可能化について ............................................................................ サポートされているSSLシナリオ .................................................................................................. 必須の証明書 ......................................................................................................................... SSLオフローダでのSSL停止 ...................................................................................................... デプロイメント・アーキテクチャ ............................................................................................. 前提 .............................................................................................................................. EPM Systemの構成 ....................................................................................................... デプロイメントのテスト ...................................................................................................... EPM Systemの完全なSSLデプロイメント ................................................................................... デプロイメント・アーキテクチャ ............................................................................................. 前提 .............................................................................................................................. 完全SSL用EPM Systemの構成 ....................................................................................... WebサーバーでのSSLの停止 ..................................................................................................... デプロイメント・アーキテクチャ ............................................................................................. 前提 .............................................................................................................................. EPM Systemの構成 ....................................................................................................... デプロイメントのテスト ...................................................................................................... Financial Reporting Studioの暗号化の有効化 ........................................................................ Essbase用SSL ....................................................................................................................... 概要 .............................................................................................................................. デフォルトのデプロイメント ................................................................................................. 必要な証明書とその場所 .................................................................................................. EssbaseとSSL使用可能なEPM System ........................................................................... Essbaseコンポーネントのインストールとデプロイ .................................................................... EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 19 19 20 20 21 21 22 22 23 24 24 25 25 27 29 39 39 40 40 40 40 41 41 41 42 43 44 3 信頼できるサードパーティCA証明書のEssbaseへの使用 ........................................................ 44 セッションごとのSSL接続の確立 ........................................................................................ 49 第3章. セキュリティ・エージェントでのSSOの使用可能 .................................................................. 51 サポートされているSSOメソッド ................................................................................................... HTTPヘッダー ................................................................................................................. カスタム・ログイン・クラス .................................................................................................. HTTP認証ヘッダー .......................................................................................................... HTTP要求からリモート・ユーザーを取得 ................................................................................ Oracle Access Managerからのシングル・サインオン .................................................................. OracleASシングル・サインオン .................................................................................................. プロセス・フロー ................................................................................................................ 前提条件 ........................................................................................................................ EPM System向けのOSSOの使用可能化 .......................................................................... SSO用のEPM System製品の保護 ........................................................................................... 保護するリソース .............................................................................................................. 保護しないリソース ........................................................................................................... SiteMinder SSO ................................................................................................................... プロセス・フロー ................................................................................................................ 注意事項 ........................................................................................................................ 前提条件 ........................................................................................................................ SiteMinder Webエージェントの使用可能化 ....................................................................... SiteMinderポリシー・サーバーの構成 .................................................................................. EPM System Webサーバーに要求を転送するためのSiteMinder Webサーバーの構成 .............. EPM SystemでSiteMinderを使用可能にする .................................................................... Kerberosシングル・サインオン .................................................................................................. 概要 .............................................................................................................................. サポート制約事項 ............................................................................................................. 前提 .............................................................................................................................. WebLogic Serverを使用したKerberos SSO ..................................................................... Kerberos認証をサポートするためのWebLogic Serverでの手順 ............................................ SSO用のEPM Systemの構成 .................................................................................................. Smart Viewに対するシングル・サインオンのオプション ................................................................. 51 52 52 53 53 53 55 55 56 57 61 61 62 65 65 66 66 66 67 68 68 68 68 69 69 70 70 82 83 第4章. ユーザー・ディレクトリの構成 ............................................................................................. 85 EPM Systemセキュリティのユーザー・ディレクトリ ......................................................................... 85 ユーザー・ディレクトリ構成に関連する操作 .................................................................................... 86 Oracle Identity ManagerとEPM System ............................................................................... 86 Active Directoryの情報 ......................................................................................................... 87 DNS検索とホスト名検索 .................................................................................................. 87 グローバル・カタログ ......................................................................................................... 87 OID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成 ........................... 87 リレーショナル・データベースをユーザー・ディレクトリとして構成する .................................................. 100 ユーザー・ディレクトリの接続のテスト .......................................................................................... 103 ユーザー・ディレクトリ設定の編集 .............................................................................................. 103 ユーザー・ディレクトリ構成の削除 .............................................................................................. 104 ユーザー・ディレクトリの検索順の管理 ........................................................................................ 105 4 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 ユーザー・ディレクトリの検索順への追加 ............................................................................. 検索順の割当ての除去 .................................................................................................. 検索順の変更 ............................................................................................................... セキュリティ・オプションの設定 ................................................................................................. 暗号化鍵の再生成 ................................................................................................................. 特殊文字の使用方法 ............................................................................................................. 105 105 106 106 109 110 第5章. カスタム認証モジュールの使用方法 ................................................................................ 113 概要 .................................................................................................................................... 使用事例の例と制限 .............................................................................................................. 前提条件 .............................................................................................................................. 設計およびコーディングに関する考慮事項 .................................................................................. 検索順序 ...................................................................................................................... ユーザー・ディレクトリおよびカスタム認証モジュール ............................................................. CSSCustomAuthenticationIF Javaインタフェース ........................................................... カスタム認証モジュールのデプロイ ............................................................................................ 手順の概要 .................................................................................................................. Shared Servicesでの設定の更新 ................................................................................... デプロイメントのテスト .................................................................................................... 113 115 115 115 115 119 120 120 121 121 122 第6章. EPM Systemの保護のガイドライン ................................................................................. 125 SSLの実装 ........................................................................................................................... 管理パスワードの変更 ............................................................................................................. 暗号化鍵の再生成 ................................................................................................................. データベース・パスワードの変更 ................................................................................................. Cookieの保護 ...................................................................................................................... SSOトークンのタイムアウトの低減 ............................................................................................. セキュリティ・レポートの確認 ..................................................................................................... 認証システムの強力な認証としてのカスタマイズ ......................................................................... Financial Managementの詳細なエラー・メッセージの非表示 ...................................................... UDLファイルの暗号化(Financial Management) ..................................................................... EPM Workspaceのデバッグ・ユーティリティを使用不可にする ..................................................... デフォルトのWebサーバー・エラー・ページの変更 .......................................................................... サードパーティ製ソフトウェアのサポート ....................................................................................... 125 125 125 126 127 127 127 127 128 128 128 129 129 付録A. カスタム認証サンプル・コード .......................................................................................... 131 サンプル・コード1 .................................................................................................................... 131 サンプル・コード2 .................................................................................................................... 132 サンプル・コード2のデータ・ファイル ........................................................................................... 134 付録B. カスタム・ログイン・クラスの実装 ..................................................................................... 135 カスタム・ログイン・クラス・サンプル・コード .................................................................................. 135 カスタム・ログイン・クラスのデプロイ .......................................................................................... 137 付録C. ユーザー・ディレクトリ全体のユーザーとグループの移行 .................................................. 139 概要 .................................................................................................................................... 139 前提条件 .............................................................................................................................. 139 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 5 移行手順 .............................................................................................................................. ネイティブ・ディレクトリ・データのエクスポート ...................................................................... EPM Systemの移行の準備 ........................................................................................... EPM Systemの再起動 .................................................................................................. インポート・ファイルの編集 ............................................................................................... 更新されたデータのインポート ........................................................................................... 個々の製品の更新 ................................................................................................................. Planning ..................................................................................................................... Financial Management ............................................................................................... Reporting and Analysis .............................................................................................. 6 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 140 140 141 142 142 142 143 143 143 144 ドキュメントのアクセシビリティについて Oracleのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWeb サイト http:// www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc を参照してください。 Access to Oracle Support Oracleサポート・サービスでは、My Oracle Supportを通して電子支援サービスを提供しています。詳細情報 は http://www.oracle.com/pls/topic/lookup?ctx=acc&id=info か、聴覚に障害のあるお客様は http:// www.oracle.com/pls/topic/lookup?ctx=acc&id=trs を参照してください。 ドキュメントのフィードバック このドキュメントへのフィードバックをお送りください: [email protected] 次のソーシャル・メディア・サイトでEPM情報開発をフォローできます: LinkedIn - http://www.linkedin.com/groups?gid=3127051&goback=.gmp_3127051 Twitter - http://twitter.com/hyperionepminfo Facebook - http://www.facebook.com/pages/Hyperion-EPM-Info/102682103112642 Google+ - https://plus.google.com/106915048672979407731/#106915048672979407731/posts YouTube - http://www.youtube.com/user/OracleEPMWebcasts 1 EPM Systemセキュリティについて この項の内容: EPM Systemについて ............................................................................................................... 9 必要な知識 ............................................................................................................................... 9 セキュリティ・インフラストラクチャのコンポーネント .......................................................................... 10 ユーザー認証 ........................................................................................................................... 10 プロビジョニング(役割ベースの認証) .......................................................................................... 14 Shared Services Consoleの起動 ............................................................................................ 17 EPM Systemについて Oracle Enterprise Performance Management System製品は、財務管理アプリケーションおよびプランニン グ・アプリケーションのモジュール式スイートと、レポートおよび分析の最も総合的なビジネス・インテリジェンス機能を 統合する、総合的なエンタープライズ・システムを形成できます。EPM System製品の主なコンポーネントは次のと おりです: • Oracle Hyperion Foundation Services • Oracle Essbase • Oracle Hyperion Financial Management • Oracle Hyperion Planning • Oracle Hyperion Reporting and Analysis 各製品ファミリの製品とコンポーネントについては、Oracle Enterprise Performance Management Systemインストー ル概要を参照してください。 必要な知識 このガイドは、EPM Systemコンポーネントを構成、保護および管理するシステム管理者を対象にしています。前提 条件となる知識は次のとおりです: • 次のような、所属組織のセキュリティ・インフラストラクチャに関する十分な理解: ○Oracle Internet Directory、Sun Java System Directory ServerおよびMicrosoft Active Directoryな どのディレクトリ・サーバー ○通信チャネルを保護するSecure Socket Layer (SSL)の使用 ○Oracle Access ManagerおよびSiteMinderなどのアクセス管理システム ○Kerberosなどシングル・サインオン(SSO)・インフラストラクチャ EPM Systemセキュリティについて 9 • 所属組織に関連するEPM Systemセキュリティの概念に関する知識 セキュリティ・インフラストラクチャのコンポーネント EPM Systemでは、いくつかのセキュリティ・コンポーネントが統合されており、堅牢なアプリケーション・セキュリティ を保証しています。EPM Systemは、セキュアなインフラストラクチャと統合することにより、データおよびアクセスの セキュリティを保証する高度なセキュア・アプリケーション・スイートを提供します。EPM Systemの保護に使用できる インフラストラクチャ・コンポーネントは次のとおりです: • オプションのアクセス管理システム(EPM SystemコンポーネントにSSOアクセスを提供するOracle Access Managerなど) • 統合SSOインフラストラクチャ(Kerberosなど)の使用。 Kerberos認証をアクセス管理システム(SiteMinder)とともに使用すると、Windowsユーザーは、SiteMinderお よびEPM Systemコンポーネントに透過的にログインできます。 • EPM Systemコンポーネントおよびクライアント間の通信チャネルを保護するSecure Socket Layer (SSL)の使 用 ユーザー認証 ユーザー認証により、各ユーザーのログイン情報を検証することでEPM Systemコンポーネント全体でシングル・サイ ンオン(SSO)機能が使用可能になり、認証済ユーザーが判別されます。コンポーネント固有の認可とともにユーザー 認証は、EPM Systemコンポーネントへユーザー・アクセスを認めます。権限を付与するプロセスは、プロビジョニン グと呼ばれます。 認証コンポーネント 次の項では、SSOをサポートするコンポーネントについて説明します。 • 10ページのネイティブ・ディレクトリ • 11ページの外部ユーザー・ディレクトリ ネイティブ・ディレクトリ ネイティブ・ディレクトリとは、Oracle Hyperion Shared Servicesがプロビジョニングのサポート、およびデフォル ト・ユーザー・アカウントなどのシード・データの保管に使用するリレーショナル・データベースを指します。 ネイティブ・ディレクトリ機能: • デフォルトのEPM Systemユーザー・アカウントの維持と管理 • 全EPM Systemプロビジョニング情報(ユーザー、グループおよび役割間の関係)の保管 ネイティブ・ディレクトリは、Oracle Hyperion Shared Services Consoleを使用してアクセスおよび管理しま す。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のネイティブ・ディレクトリ の管理に関する項を参照してください。 10 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 外部ユーザー・ディレクトリ ユーザー・ディレクトリとは、EPM Systemコンポーネントと互換性のある、企業ユーザーおよびアイデンティティの管 理システムを指します。 EPM Systemコンポーネントは、Oracle Internet Directory、Sun Java System Directory Server (旧Sun ONE Directory Server)、Microsoft Active DirectoryなどのLDAPベースのユーザー・ディレクトリを含むいくつ かのユーザー・ディレクトリでサポートされています。リレーショナル・データベースもユーザー・ディレクトリとしてサポー トされています。このドキュメントでは、ネイティブ・ディレクトリ以外のユーザー・ディレクトリを外部ユーザー・ディレク トリと呼びます。サポートされているユーザー・ディレクトリのリストについては、Oracle Enterprise Performance Management製品 - サポートされるプラットフォームのメトリックを参照してください。 Shared Services Consoleから、多くの外部ユーザー・ディレクトリをEPM Systemユーザーおよびグループのソース として構成できます。各EPM Systemユーザーは、構成済ユーザー・ディレクトリ内で一意のアカウントを持っている 必要があります。通常、EPM Systemユーザーは、プロビジョニングを促進するためにグループに割り当てられます。 デフォルトのEPM Systemシングル・サインオン EPM Systemでは、あるアプリケーションの認証済ユーザーは、資格証明を再入力することなく別のアプリケーション にシームレスに移動でき、EPM System Webアプリケーション全体でSSOがサポートされます。SSOは、ユーザー認 証およびプロビジョニング(役割ベースの認証)を処理する共通のセキュリティ環境をEPM Systemコンポーネント 全体で統合することによって実装されます。 デフォルトのSSOプロセスを次の図に示します。 EPM Systemセキュリティについて 11 1. ユーザーは、ブラウザ経由でEPM Systemコンポーネントのログイン画面にアクセスし、ユーザー名とパスワードを 入力します。 EPM Systemコンポーネントにより、構成済ユーザー・ディレクトリ(ネイティブ・ディレクトリなど)への問合せが行 われ、ユーザー資格証明が確認されます。ユーザー・ディレクトリで一致するユーザー・アカウントが見つかると、検 索は終了し、ユーザー情報がEPM Systemコンポーネントに戻されます。 ユーザー・アカウントがどの構成済ユーザー・ディレクトリにもない場合、アクセスは拒否されます。 2. 取得したユーザー情報を使用して、EPM Systemコンポーネントにより、ネイティブ・ディレクトリへの問合せが行 われ、ユーザーのプロビジョニングの詳細が入手されます。 3. EPM Systemコンポーネントにより、コンポーネントのアクセス制御リスト(ACL)がチェックされ、ユーザーがアク セスできるアプリケーション・アーティファクトが決定されます。 ネイティブ・ディレクトリからプロビジョニング情報を受け取ると、EPM Systemコンポーネントはユーザーに対して使 用可能になります。この時点で、SSOは、ユーザーがプロビジョニングされているすべてのEPM Systemコンポーネ ントで使用可能です。 アクセス管理システムからのシングル・サインオン EPM Systemコンポーネントのセキュリティをさらに強化するには、Oracle Access ManagerまたはSiteMinder など、サポートされているアクセス管理システムを実装できます。これらの製品では、認証済ユーザー資格証明を EPM Systemコンポーネントに提供し、事前定義済のアクセス権限に基づいてアクセスを制御できます。 セキュリティ・エージェントからのSSOはEPM System Webアプリケーションでのみ使用可能です。このシナリオで は、EPM Systemコンポーネントは、セキュリティ・エージェントから提供されるユーザー情報を使用して、ユーザーの アクセス権限を判別します。セキュリティを強化するには、すべての要求がSSOポータルを経由するように、サーバー への直接のアクセスをファイアウォールでブロックすることをお薦めします。 アクセス管理システムからのSSOは、条件を満たしたSSOメカニズム経由で認証済のユーザー資格証明を受け入 れることによりサポートされます。 51ページのサポートされているSSOメソッドを参照してください。アクセス管理 システムにより、ユーザーが認証され、ユーザーのログイン名がEPM Systemに渡されます。EPM Systemにより、構 成済のユーザー・ディレクトリに対してログイン名が確認されます。 次のトピックを参照してください。 • 53ページのOracle Access Managerからのシングル・サインオン • 55ページのOracleASシングル・サインオン • 65ページのSiteMinder SSO • 68ページのKerberosシングル・サインオン 概念を図で示します: 12 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 1. ブラウザを使用して、ユーザーはアクセス管理システム(Oracle Access Manager、SiteMinderなど)で保護さ れているリソースへのアクセスを要求します。 注: EPM Systemコンポーネントは、アクセス管理システムで保護されているリソースとして定義され ます。 アクセス管理システムは、要求をインターセプトし、ログイン画面を表示します。ユーザーはユーザー名とパスワード を入力します。これらは、ユーザーの信頼性を確認するためにアクセス管理システムで構成済ユーザー・ディレクト リに対して検証されます。EPM Systemコンポーネントは、これらのユーザー・ディレクトリと連動するようにも構成 されています。 認証済ユーザーに関する情報は、EPM Systemコンポーネントに渡され、そのコンポーネントで有効なものとして 受け入れられます。 アクセス管理システムは、条件を満たしたSSOメカニズムを使用して、ユーザーのログイン名(ログイン属性の値) をEPM Systemコンポーネントに渡します。 51ページのサポートされているSSOメソッドを参照してください。 2. ユーザー資格証明を確認するために、EPM Systemコンポーネントにより、ユーザー・ディレクトリでユーザーの検 索が試みられます。一致するユーザー・アカウントが見つかると、ユーザー情報がEPM Systemコンポーネントに 戻されます。EPM Systemセキュリティにより、EPM Systemコンポーネント全体でSSOを使用可能にするSSO トークンが設定されます。 3. 取得したユーザー情報を使用して、EPM Systemコンポーネントにより、ネイティブ・ディレクトリへの問合せが行 われ、ユーザーのプロビジョニングの詳細が入手されます。 EPM Systemセキュリティについて 13 ユーザー・プロビジョニング情報を受け取ると、EPM Systemコンポーネントはユーザーに対して使用可能になり ます。SSOは、ユーザーがプロビジョニングされているすべてのEPM Systemコンポーネントで使用可能です。 プロビジョニング(役割ベースの認証) EPM Systemセキュリティでは、役割のコンセプトを使用してアプリケーションへのユーザー・アクセスが判別されま す。役割とは、アプリケーション機能へのユーザー・アクセスを判別する権限です。一部のEPM Systemコンポーネ ントでは、レポートおよびメンバーなどのアーティファクトへのユーザー・アクセスをさらに詳細に制限するために、オブ ジェクトレベルのACLが使用されます。 各EPM Systemコンポーネントでは、様々な業務上の必要に対して調整された数個のデフォルトの役割が提供さ れます。EPM Systemコンポーネントに属する各アプリケーションはこの役割を継承します。Shared Servicesに登 録されたアプリケーションからの事前定義済役割は、Shared Services Consoleから使用可能です。特定の要件 に合うように、デフォルトの役割を集約する追加の役割も作成できます。この役割はプロビジョニングに使用されま す。EPM Systemアプリケーションおよびそのリソースに属する固有の役割をユーザーおよびグループに付与するプ ロセスをプロビジョニングと呼びます。 ネイティブ・ディレクトリおよび構成済ユーザー・ディレクトリは、プロビジョニング・プロセス用のユーザーとグループ情 報のソースです。Shared Services Consoleから、すべての構成済ユーザー・ディレクトリのユーザーとグループを参 照およびプロビジョニングできます。また、プロビジョニング・プロセスでは、ネイティブ・ディレクトリで作成されたア プリケーション固有の集約役割も使用できます。 承認プロセスの概要図: 1. ユーザーが認証されたら、EPM Systemコンポーネントにより、ユーザー・ディレクトリへの問合せが行われ、ユー ザーのグループが判別されます。 2. EPM Systemコンポーネントにより、グループ情報とユーザー情報を使用して、Shared Servicesからユーザーの プロビジョニング・データが取得されます。このデータを使用してユーザーがアクセスできるリソースが決定されま す。 14 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 製品固有のアクセス制御を設定するなどの製品固有のプロビジョニング・タスクは、各製品向けに完成されま す。このデータは、プロビジョニング・データと組み合されて、ユーザーの製品アクセスを決定します。 EPM System製品の役割ベースのプロビジョニングでは、これらのコンセプトが使用されます。 役割 役割は、EPM Systemリソースで機能を実行するユーザーとグループに許可されるアクセス権限を定義するコンスト ラクト(アクセス制御リストに類似)です。役割は、リソースまたはリソース・タイプ(レポートなどのユーザーがアクセスで きるもの)と、ユーザーがリソースで実行できるアクション(表示や編集など)の組合せです。 EPM Systemアプリケーション・リソースへのアクセスは制限されています。アクセスを提供する役割がユーザー、ま たはユーザーが属するグループに割り当てられてからのみ、ユーザーはこれらのリソースにアクセスできます。役割に 基づいたアクセス制限では、管理者は、アプリケーション・アクセスを制御および管理できます。 グローバルな役割 グローバルな役割、つまり複数の製品に及ぶShared Servicesの役割により、ユーザーはEPM System製品間で特 定のタスクを実行できます。たとえば、Shared Services管理者は、すべてのEPM Systemアプリケーションについ てユーザーをプロビジョニングできます。 事前定義済役割 事前定義済役割は、EPM System製品における組込みの役割です。これらを削除することはできません。EPM System製品に属する各アプリケーション・インスタンスは、EPM System製品の事前定義済役割を継承します。各 アプリケーションのこれらの役割は、アプリケーションの作成時にShared Servicesに登録されます。 集約役割 カスタム役割という名でも知られる集約役割では、アプリケーションに属する複数の事前定義済役割が集約されま す。集約役割には、他の集約役割を含めることができます。たとえば、Shared Services管理者またはプロビジョニ ング・マネージャは、Planningアプリケーションのプランナと表示ユーザーの役割を組み合せる集約役割を作成でき ます。役割を集約することにより、複数の細かい役割を持つアプリケーションの管理を簡略化できます。グローバル Shared Servicesの役割は、集約役割に含めることができます。複数のアプリケーションまたは製品に及ぶ集約役 割は作成できません。 ユーザー ユーザー・ディレクトリには、EPM System製品にアクセスできるユーザーに関する情報が保管されています。認証お よび承認プロセスの双方でユーザー情報が使用されます。ネイティブ・ディレクトリ・ユーザーを作成して管理できるの は、Shared Services Consoleからのみです。 EPM Systemセキュリティについて 15 すべての構成済ユーザー・ディレクトリからのユーザーは、Shared Services Consoleから確認できます。これらの ユーザーは、Shared Servicesに登録されたEPM Systemアプリケーションでアクセス権を許可するように個別にプ ロビジョニングできます。個別ユーザーへのプロビジョニングはお薦めしません。 デフォルトのEPM System管理者 管理者アカウント(デフォルト名admin)は、デプロイメント・プロセス中にネイティブ・ディレクトリに作成されます。こ れは最も強力なEPM Systemアカウントで、EPM Systemセキュリティおよび環境の管理の責任を負う情報テクノ ロジーの専門家であるシステム管理者の設定にのみ使用される必要があります。 EPM System管理者のユーザー名およびパスワードはFoundation Servicesのデプロイメント中に設定されます。 このアカウントは企業のアカウント・パスワード・ポリシーの対象にできないため、システム管理者アカウントを作成し た後に非アクティブにすることをお薦めします。 通常、デフォルトのEPM System管理者アカウントは次のタスクを実行するために使用します: • 企業ディレクトリを外部ユーザー・ディレクトリとして構成します。 85ページの第4章「ユーザー・ディレクトリの構 成」を参照してください。 • 企業の情報テクノロジの専門家にShared Services管理者の役割をプロビジョニングして、システム管理者アカ ウントを作成します。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のユー ザーとグループのプロビジョニングに関する項を参照してください。 システム管理者 システム管理者は通常、企業の情報テクノロジの専門家で、EPM Systemデプロイメントに含まれるすべてのサー バーに対する読取り、書込みおよび実行アクセス権を持っています。 一般に、システム管理者は次のタスクを実行します: • デフォルトのEPM System管理者アカウントを無効にします。 • 機能の管理者を少なくとも1つ作成します。 • Shared Services Consoleを使用してEPM System用のセキュリティ構成を設定します。 • オプションで、ユーザー・ディレクトリを外部ユーザー・ディレクトリとして構成します。 • ログ分析ツールを定期的に実行してEPM Systemをモニターします。 機能の管理者が実行するタスクは、このガイドに記載されています。 機能の管理者を作成する手順: • 企業ディレクトリを外部ユーザー・ディレクトリとして構成します。 85ページの第4章「ユーザー・ディレクトリの構 成」を参照してください。 • ユーザーまたはグループに機能の管理者の作成に必要な役割をプロビジョニングします。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のユーザーとグループのプロビジョニングに関 する項を参照してください。 16 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 機能の管理者には、次の役割がプロビジョニングされている必要があります: ○Shared ServicesのLCM管理者の役割 ○デプロイされている各EPM Systemコンポーネントの管理者およびプロビジョニング・マネージャの役割 機能の管理者 機能の管理者は、EPM Systemの専門家である企業ユーザーです。通常、このユーザーは外部ユーザー・ディレクトリ としてShared Servicesに構成されている企業ディレクトリで定義されます。 機能の管理者は、他の機能の管理者の作成、委任された管理の設定、アプリケーションやアーティファクトの作成お よびプロビジョニング、EPM System監査の設定などのEPM System管理タスクを実行します。機能の管理者が 実行するタスクは、『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』に記載さ れています。 グループ グループは、ユーザーまたは他のグループのコンテナです。Shared Services Consoleからネイティブ・ディレクト リ・グループを作成して、管理できます。すべての構成済ユーザー・ディレクトリからのグループは、Shared Services Consoleに表示されます。これらのグループをプロビジョニングして、Shared Servicesに登録されたEPM System製品の権限を許可できます。 Shared Services Consoleの起動 Oracle Hyperion Enterprise Performance Management Workspaceのメニュー・オプションを使用し て、Shared Services Consoleにアクセスします。 Shared Services Consoleを起動するには: 1. 次に移動します: http://web_server_name:port_number/workspace URLの中で、web_server_nameは、Foundation Servicesが使用するWebサーバーが実行されてい るコンピュータの名前を示し、port_numberは、Webサーバー・ポートを示します。たとえば、http://my Webserver:19000/workspaceのようになります。 注: セキュアな環境のEPM Workspaceにアクセスする場合、プロトコルとしてhttps (httpで はなく)を使用し、セキュアなWebサーバー・ポート番号を使用します。たとえば、https://my Webserver:19043/workspaceのようなURLを使用します。 2. 「アプリケーションの起動」をクリックします。 EPM Systemセキュリティについて 17 注: ポップアップ・ブロッカが原因でEPM Workspaceが開かない場合があります。 3. 4. 5. 18 「ログオン」で、ユーザー名とパスワードを入力します。 最初は、Shared Services Consoleへアクセスできる唯一のユーザーは、ユーザー名とパスワードがデプロイメ ント・プロセス中に指定されたEPM System管理者です。 「ログオン」をクリックします。 「ナビゲート」、次に「管理」、さらに「Shared Services Console」を選択します。 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 2 EPM Systemコンポー ネントのSSL使用可能化 この項の内容: 前提 ...................................................................................................................................... 情報ソース .............................................................................................................................. 場所のリファレンス ................................................................................................................... EPM System製品のSSL使用可能化について ............................................................................ サポートされているSSLシナリオ .................................................................................................. 必須の証明書 ......................................................................................................................... SSLオフローダでのSSL停止 ...................................................................................................... EPM Systemの完全なSSLデプロイメント ................................................................................... WebサーバーでのSSLの停止 ..................................................................................................... Financial Reporting Studioの暗号化の有効化 ........................................................................ Essbase用SSL ....................................................................................................................... 19 19 20 20 21 21 22 25 39 40 41 前提 • デプロイメント・トポロジを判別し、SSLを使用する保護された通信リンクを識別しています。 • よく知られている証明機関(CA)または独自のCAから必要な証明書を取得しているか、自己署名証明書を作成 しているものとします。 21ページの必須の証明書を参照してください。 • SSLの概念および証明書のインポートなどの手順に精通しています。 参照ドキュメントのリストについては、 19ページの情報ソースを参照してください。 情報ソース EPM SystemをSSL使用可能にするには、SSLを使用して通信するアプリケーション・サーバー、Webサーバー、デー タベース、ユーザー・ディレクトリなどのコンポーネントを準備している必要があります。このドキュメントでは、これらの コンポーネントをSSL使用可能にするタスクに精通していることを前提としています。 • Oracle WebLogic Server: Securing WebLogic Server GuideのSSLの構成に関する説明を参照してください。 • Oracle HTTP Server: 『Oracle HTTP Server管理者ガイド』の次のトピックを参照してください: ○セキュリティの管理に関する説明 ○Oracle HTTP ServerのSSLの使用可能化に関する説明 • ユーザー・ディレクトリ: ユーザー・ディレクトリ・ベンダーのドキュメントを参照してください。次のリンクが役に立ちま す: EPM SystemコンポーネントのSSL使用可能化 19 ○Oracle Internet Directory: 『Oracle Internet Directory管理者ガイド』を参照してください。 ○Sun Java System Directory Server: Sun Java System Directory Server Administration GuideのDirectory Server Securityを参照してください ○Active Directory: 次のドキュメントを参照してください: # Microsoft Windows Server 2008 Active Directoryのドキュメント # Microsoft Windows Server 2003 Active Directoryのドキュメント ○Novell eDirectory: Novell eDirectoryのドキュメントを参照してください。 • データベース: データベース・ベンダーのドキュメントを参照してください。 • Internet Information Services: IISへのSSLの実装方法を参照してください。 場所のリファレンス このドキュメントでは、次のインストールおよびデプロイメントの場所を参照します: • MIDDLEWARE_HOMEは、WebLogic Serverなどのミドルウェア・コンポーネントの場所、オプションで1つ以上 のEPM_ORACLE_HOMEを参照します。MIDDLEWARE_HOMEは、EPM System製品のインストール中に定義されま す。デフォルトのMIDDLEWARE_HOMEディレクトリは、Oracle/Middlewareです。 • EPM_ORACLE_HOMEは、EPM System製品をサポートするのに必要なファイルを含むインストール・ディレ クトリを参照します。EPM_ORACLE_HOMEはMIDDLEWARE_HOME内にあります。デフォルトのEPM_ORACLE_ HOMEはMIDDLEWARE_HOME/EPMSystem11R1で、たとえば、Oracle/Middleware/EPMSystem11R1となります。 EPM System製品は、EPM_ORACLE_HOME/productsディレクトリ(たとえば、Oracle/Middleware/ EPMSystem11R1/products)にインストールされます。 また、EPM System製品の構成中に、一部の製品によってコンポーネントがMIDDLEWARE_HOMEuser_ projects/epmsystem1(たとえば、Oracle/Middleware/user_projects/epmsystem1)にデプロイされま す。 • EPM_ORACLE_INSTANCEは、一部の製品によってコンポーネントがデプロイされる構成プロセス時に定義され る場所を表します。EPM_ORACLE_INSTANCEのデフォルトの場所は、MIDDLEWARE_HOME/user_projects/ epmsystem1 (Oracle/Middleware/user_projects/epmsystem1など)です。 EPM System製品のSSL使用可能化について EPM Systemデプロイメント・プロセスでは、自動的にOracle EPM System製品がSSLモードおよび非SSLモード の両方で機能するようデプロイメントされます。 EPM Systemの共通設定を指定する場合、デプロイメント内のすべてのサーバー間通信でSSLを使用可能にする かどうかを指定します。 デプロイメント・プロセス中にSSL設定を選択しても、各自の環境が自動的にSSL用に構成されることはありませ ん。この操作では、Oracle Hyperion Shared Servicesレジストリでフラグが設定されるだけであり、このフラグ は、Shared Servicesレジストリを使用するすべてのEPM Systemコンポーネントでサーバー間通信に安全なプロト コル(HTTPS)を使用する必要があることを示します。各自の環境をSSL使用可能にするには、さらに手順を実行す る必要があります。このドキュメントでは、このような手順について説明します。 20 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 サポートされているSSLシナリオ 次のSSLシナリオがサポートされています: • SSLオフローダでのSSL停止。 22ページのSSLオフローダでのSSL停止を参照してください。 • 完全なSSLデプロイメント。 25ページのEPM Systemの完全なSSLデプロイメントを参照してください。 注: このドキュメントでは、WebLogic Serverを使用してJava Webアプリケーションをホストしている ことを前提としています。WebSphereを使用している場合、WebSphereアプリケーション・サー バーおよびIBM HTTP ServerプラグインのSSL使用可能化の詳細は、WebSphereのドキュメ ントを参照してください。 必須の証明書 SSL通信では、コンポーネント間の信頼の確立に証明書が使用されます。よく知られたサードパーティCAからの証明 書を使用して、本番環境のEPM SystemをSSL使用可能にすることをお薦めします。 注: EPM Systemでは、1つのSSL証明書で複数のサブドメインをセキュアにできるワイルドカード証 明書の使用をサポートしています。ワイルドカード証明書を使用すると、管理の時間とコストを削減 できます。 ワイルドカード証明書を使用して通信を暗号化している場合、WebLogic Serverでホスト名の確 認を無効化する必要があります。 EPM Systemコンポーネントのホストの各サーバーに次の証明書が必要です: • ルートCA証明書 注: ルート証明書がJavaキーストアにすでにインストールされた、よく知られたサードパーティCAからの 証明書を使用している場合、JavaキーストアにルートCA証明書をインストールする必要はありませ ん。 FirefoxおよびInternet Explorerには、よく知られたサードパーティCAの証明書があらかじめロー ドされています。CAとして機能するには、これらのブラウザからアクセスされるクライアントで使 用されるキーストアにCAルート証明書をインポートする必要があります。たとえば、CAとして機能 する場合、CAルート証明書がWeb Analysisにアクセスするブラウザで使用できないと、Oracle Hyperion Web AnalysisクライアントでサーバーとのSSLハンドシェイクを確立できません。 EPM SystemコンポーネントのSSL使用可能化 21 • デプロイメント内の各Oracle HTTP Serverの署名付き証明書 • WebLogic Serverホスト・マシンの署名付き証明書。このマシンの管理対象サーバーも、この証明書を使用でき ます • SSLオフローダおよびロード・バランサの2つの証明書。これらの証明書の1つは外部通信用で、もう1つは内部通 信用です SSLオフローダでのSSL停止 サブトピック • • • • デプロイメント・アーキテクチャ 前提 EPM Systemの構成 デプロイメントのテスト デプロイメント・アーキテクチャ このシナリオでは、SSLはEPM Systemクライアント(ブラウザなど)とSSLオフローダの間の通信リンクを保護するた めに使用されます。概念を図で示します: 22 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 前提 サブトピック • SSLオフローダおよびロード・バランサ • 仮想ホスト SSLオフローダおよびロード・バランサ 完全に構成されたSSLオフローダが、ロード・バランサとともにデプロイメント環境に存在している必要があります。 ロード・バランサは、仮想ホストから受信したすべての要求をOracle HTTP Serverに転送するように構成されてい る必要があります。 EPM SystemコンポーネントのSSL使用可能化 23 仮想ホスト SSLオフローダで停止するSSLの構成では、SSLオフローダ/ロード・バランサで2つのサーバー別名(たとえば、epm. myCompany.com、empinternal.myCompany.com)が使用され、1つはオフローダとブラウザの間の外部通信用、も う1つはEPM Systemサーバー間の内部通信用です。サーバー別名がマシンのIPアドレスを示し、DNSを介して解決 可能であることを確認してください。 オフローダとブラウザ間の外部通信(epm.myCompany.comを使用)をサポートする署名付き証明書が、オフローダ/ ロード・バランサにインストールされている必要があります。 EPM Systemの構成 EPM Systemコンポーネントのデフォルト・デプロイメントは、SSLオフローダでのSSL停止をサポートしています。追 加のアクションは必要ありません。 EPM Systemを構成する際、Webアプリケーションの論理アドレスが、内部通信用に作成された別名(例: empinternal.myCompany.com)をポイントしていることを確認します。EPM Systemをインストールし、構成するに は、次の情報ソースを参照してください: • 『Oracle Enterprise Performance Management Systemインストールおよび構成ガイド』 • Oracle Enterprise Performance Management Systemインストール概要 • Oracle Enterprise Performance Management Systemインストールおよび構成トラブルシューティング・ガイド デプロイメントのテスト デプロイメント・プロセスが完了したら、次のセキュアなEPM WorkspaceのURLに接続して、すべてが機能してい ることを確認します: https:// virtual_host_external : SSL_PORT /workspace/index.jsp たとえば、https://epm.myCompany.com:443/workspace/index.jsp(443はSSLポート)などです。 24 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 EPM Systemの完全なSSLデプロイメント サブトピック • デプロイメント・アーキテクチャ • 前提 • 完全SSL用EPM Systemの構成 デプロイメント・アーキテクチャ 完全SSLモードでは、すべてのセキュリティ保護可能なチャンネル間の通信は、SSLを使用して保護されています。こ のEPM Systemデプロイメント・シナリオは最も安全です。 概念を図で示します: EPM SystemコンポーネントのSSL使用可能化 25 注: SSL使用可能にはできないEPM Systemコンポーネントもあります。通常、バックエンド・サー バー(Oracle Hyperion Strategic Finance Server、Financial Managementサーバーなど) は、SSL使用可能にはできません。 26 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 前提 サブトピック • データベース • EPM System • SSLオフローダおよびロード・バランサ データベース データベース・サーバーおよびクライアントはSSL使用可能です。データベース・サーバーおよびクライアントのSSL使用 可能化の詳細は、データベースのドキュメントを参照してください。 EPM System WebLogic ServerおよびOracle HTTP Serverを含むEPM Systemコンポーネントがインストールされデプロイさ れます。さらに、EPM System環境は、すべてが非SSLモードで動作していることがテストされています。次の情報 ソースを参照してください: • 『Oracle Enterprise Performance Management Systemインストールおよび構成ガイド』 • Oracle Enterprise Performance Management Systemインストール概要 • Oracle Enterprise Performance Management Systemインストールおよび構成トラブルシューティング・ガイド データベースの接続をSSL使用可能化する場合、構成プロセス中、各データベースの構成画面で「詳細設定オプショ ン」リンクを選択し、次に示す必須の設定を指定する必要があります: • 「データベースに対して保護された接続を使用(SSL)」を選択し、安全なデータベースURLを入力します。たとえ ば、jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=myDBhost)(PORT=1529) (CONNECT_DATA=(SERVICE NAME=myDBhost.myCompany.com)))です。 • 信頼できるキーストア • 信頼できるキーストア・パスワード EPM SystemコンポーネントのSSL使用可能化 27 詳細は、『Oracle Enterprise Performance Management Systemインストールおよび構成ガイド』を参照してください。 SSLオフローダおよびロード・バランサ 完全に構成されたSSLオフローダが、ロード・バランサとともにデプロイメント環境に存在している必要があります。 完全SSL構成では、2つのサーバー別名(epm.myCompany.comとempinternal.myCompany.comなど)をSSLオフ ローダで使用します。1つはオフローダとブラウザ間の外部通信用、もう1つはEPM Systemサーバー間の内部通信 用です。サーバー別名がマシンのIPアドレスを示し、DNSを介して解決可能であることを確認してください。 ロード・バランサは、仮想ホストから受信したすべての要求をOracle HTTP Serverに転送するように構成されてい る必要があります。 2つの署名付き証明書(1つは、epm.myCompany.comを介したオフローダとブラウザ間の外部通信のサポート用、も う1つは、empinternal.myCompany.comを介したアプリケーション間の内部通信のサポート用)がオフローダ/ロー ド・バランサにインストールされている必要があります。サーバー名の公開を防ぎ、セキュリティを強化するために、これ らの証明書はサーバー別名に結び付けることをお薦めします。 28 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 完全SSL用EPM Systemの構成 サブトピック • • • • • • • • • EPM Systemの共通設定の再構成 オプション: WebLogic Serverに対するルートCA証明書のインストール オプション: FDMサーバーに対するルートCA証明書のインストール WebLogic Serverに対する証明書のインストール WebLogic Serverの構成 Oracle HTTP Serverに関する手順 サーバーおよびEPM Systemの再起動 デプロイメントのテスト SSL使用可能な外部ユーザー・ディレクトリの構成 EPM Systemの共通設定の再構成 このプロセス中、EPM Systemコンポーネントに、SSL通信を使用させる設定を選択します。 SSL用にEPM Systemを再構成するには: 1. 2. Oracle Hyperion Enterprise Performance Management Systemコンフィグレータを起動します。 「構成を適用するEPM Oracleインスタンスを選択してください」で、次の手順を実行します: a. 3. 「EPM Oracleインスタンス名」で、EPM Systemコンポーネントの最初の構成時に使用したインスタンス 名を入力します。 b. 「次へ」をクリックします。 「構成」画面で、次の手順を実行します: 4. a. 「すべて選択解除」をクリアします。 b. Hyperion Foundation構成タスクを展開し、「共通設定の構成」を選択します。 c. 「次へ」をクリックします。 「共通設定の構成」で、次の手順を実行します: 注意 電子メール・サーバーとの通信にSSLを使用する設定を選択する前に、電子メール・サーバーがSSL 用に構成されていることを確認します。 EPM SystemコンポーネントのSSL使用可能化 29 a. 5. 6. 「Java Webアプリケーション・サーバー通信にSSLを使用(手動構成が必要)」を選択し、EPM Systemが 通信にSSLを使用する必要があることを指定します。 b. オプション: 「メール・サーバー・ホスト」および「ポート」に情報を入力します。SSL通信をサポートするに は、SMTPメール・サーバーで使用されるセキュアなポートを指定する必要があります。 c. オプション: SMTPメール・サーバーとのSSL通信をサポートするには、「メール・サーバーとの通信にSSLを使 用」を選択します。 d. 残りのフィールドに、設定を選択または入力します。 e. 「次へ」をクリックします。 後続の「EPM Systemコンフィグレータ」画面で「次へ」をクリックします。 デプロイメント・プロセスが完了すると、「要約」画面が表示されます。「終了」をクリックします。 オプション: WebLogic Serverに対するルートCA証明書のインス トール ほとんどのよく知られたサードパーティCAのルートCA証明書は、SunおよびJRockit JVMキーストアにすでインス トールされています。よく知られたサードパーティCAの証明書を使用してインストールしていない場合、この項の手順 を実行します(非推奨)。デフォルトJVMキーストアの場所: • Sun JVMキーストア: MIDDLEWARE_HOME/jdk160_35/jre/lib/security/cacerts • JRockit JVMキーストア: MIDDLEWARE_HOME/jrockit_160_37/jre/lib/security/cacerts ルートCA証明書をインストールするには: 1. 2. 3. 30 ルートCA証明書をWebLogic Serverがインストールされているマシンのローカル・ディレクトリにコピーします。 コンソールから、ディレクトリをMIDDLEWARE_HOME/jdk160_35/jre/binに変更します。 次のようなkeytoolコマンドを実行して、ルートCA証明書をSun JVMキーストアにインストールします: EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 keytool -import -alias ALIAS -file CA_CERT_FILE -keystore KEYSTORE -storepass KEYSTORE_PASSWORD -trustcacerts たとえば、次のコマンドを使用して現在のディレクトリに格納されている証明書CAcert.crtをキーストア内の証 明書別名としてBlisterを使用してSun JVMキーストアに追加できます。デフォルトのストアパス(changeit) を仮定します。 keytool -import -alias Blister -file CAcert.crt -keystore ../lib/ security/cacerts -storepass changeit -trustcacerts 注: 前述のコマンドと例では、keytoolを使用した証明書のインポートに構文の一部が使用されます。 インポート構文の完全なリストは、keytoolのドキュメントを参照してください。 4. 次のようなコマンドを実行して、ルートCA証明書をJRockit JVMキーストアにインストールします: keytool -import -alias ALIAS -file CERT_FILE -keystore KEYSTORE -storepass KEYSTORE_PASSWORD -trustcacerts たとえば、次のコマンドを使用して現在のディレクトリに格納されている証明書CAcert.crtを証明書別名とし てBlisterを使用してJRockit JVMキーストアに追加できます。デフォルトのストアパス(changeit)を仮定し ます。 keytool -import -alias Blister -file CAcert.crt -keystore MIDDLEWARE_HOME /jrockit_160_37/jre/lib/security/cacerts -storepass changeit - trustcacerts 注: MIDDLEWARE_HOMEをディレクトリ・パスに置き換えていることを確認します。 EPM SystemコンポーネントのSSL使用可能化 31 オプション: FDMサーバーに対するルートCA証明書のインストール Oracle Hyperion Financial Data Quality Managementサーバーが、他のEPM Systemコンポーネントによっ て使用されるJVMを共有しない場合、ルートCA証明書をインストールします。 FDMサーバーが使用するJVMの場所(例: add key="JvmPath"value="EPM_ORACLE_HOME\common\JRE\Sun \1.6.0\bin\client\jvm.dll)は、FDM構成フォルダにあるHyperion.Fdm.Api.Common.dll.configに記 録されます。 ルートCA証明書をインストールするには: 1. 2. 3. ルートCA証明書をWebLogic Serverがインストールされているマシンのローカル・ディレクトリにコピーします。 コンソールから、ディレクトリをMIDDLEWARE_HOME/jdk160_35/jre/binに変更します。 次のようなkeytoolコマンドを実行して、ルートCA証明書をSun JVMキーストアにインストールします: keytool -import -alias ALIAS -file CA_CERT_FILE -keystore KEYSTORE -storepass KEYSTORE_PASSWORD -trustcacerts たとえば、次のコマンドを使用して、現在のディレクトリに格納されている証明書CAcert.crtを、C:\Oracle \Middleware\EPMSystem11R1\common\JRE\Sun\1.6.0\lib\security\cacertsにあるSun JVMキー ストアに追加できます。 keytool -import -file CAcert.crt -trustcacerts -keystore C:\Oracle \Middleware\EPMSystem11R1\common\JRE\Sun\1.6.0\lib\security\cacerts 注: 前述のコマンドと例では、keytoolを使用した証明書のインポートに構文の一部が使用されます。 インポート構文の完全なリストは、keytoolのドキュメントを参照してください。 WebLogic Serverに対する証明書のインストール デフォルトのWebLogic Serverインストールでは、SSLをサポートするデモ用の証明書が使用されます。ご使用の 環境を強化するために、よく知られたサードパーティが発行した証明書をインストールすることをお薦めします。 WebLogic Serverのホストとなる各マシンで、ツール(keytoolなど)を使用して、WebLogic ServerおよびEPM System Webコンポーネントの署名付き証明書を格納するカスタム・キーストアを作成します。 カスタム・キーストアを作成して証明書をインポートするには: 1. 2. 32 コンソールから、ディレクトリをMIDDLEWARE_HOME/jdk160_35/jre/binに変更します。 次のようなkeytoolコマンドを実行して、既存のディレクトリで(コマンドの-keystoreディレクティブで識別され る)カスタム・キーストアを作成します: EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 keytool -genkey -dname "cn= myserver , ou= EPM , o= myCompany , c=US" -alias epm_ssl -keypass password -keystore C:\oracle\Middleware\EPMSystem11R1\ssl\keystore -storepass password -validity 365 -keyalg RSA 注: 設定する共通名(cn)はサーバー名と一致する必要があります。cnに完全修飾ドメイン名(FQDN) を使用する場合、Webコンポーネントのデプロイの際にFQDNを使用する必要があります。 3. 証明書要求を生成します。 keytool -certreq -alias epm_ssl -file C:/certs/epmssl_csr -keypass password -storetype jks -keystore C:\oracle\Middleware\EPMSystem11R1\ssl\keystore -storepass password 4. 5. WebLogic Serverマシンの署名付き証明書を取得します。 署名付き証明書をキーストアにインポートします: keytool -import -alias epm_ssl -file C:/certs/epmssl_crt -keypass password -keystore C:\Oracle\Middleware\EPMSystem11R1\ssl\keystore -storepass password WebLogic Serverの構成 EPM System Webコンポーネントのデプロイ後、SSL通信用に構成する必要があります。 EPM SystemコンポーネントのSSL使用可能化 33 SSL用にWebコンポーネントを構成するには: 1. MIDDLEWARE_HOME/user_projects/domains/EPMSystem/binに格納されているファイルを実行し て、WebLogic Serverを起動します: • startWebLogic.cmd (Windows) • startWebLogic.sh (UNIX) 2. 次のURLにアクセスしてWebLogic Server管理コンソールを起動します: http:// SERVER_NAME:Port /console たとえば、myServerのデフォルト・ポートにデプロイされているWebLogic Serverコンソールにアクセスするに は、http://myServer:7001/consoleを使用する必要があります。 3. 4. 5. 6. 「ようこそ」画面で、EPM Systemコンフィグレータで指定したWebLogic Server管理者のユーザー名とパス ワードを入力します。 「チェンジ・センター」で、「ロックして編集」をクリックします。 コンソールの左側のペインで、「環境」を展開して、「サーバー」を選択します。 「サーバーのサマリー」画面で、SSL使用可能にするサーバーの名前をクリックします。 たとえば、Foundation ServicesコンポーネントをSSL使用可能にするには、EPMServer0サーバーを使用しま す。 7. 8. 9. 10. 「リスニング・ポートの有効化」をクリアして、HTTPリスニング・ポートを使用不可にします。 「SSLリスニング・ポートの有効化」が選択されていることを確認します。 「SSLリスニング・ポート」に、このサーバーが要求をリスニングするSSLリスニング・ポートを入力します。 使用するアイデンティティと信頼キーストアを指定するには、「キーストア」を選択し、「キーストア」タブを開きま す。 11. 「変更」をクリックします。 12. 次のいずれかのオプションを選択します: • よく知られたサードパーティCAからのサーバー証明書を使用していない場合、「カスタム・アイデンティティと カスタム信頼」を選択します • よく知られたサードパーティCAからのサーバー証明書を使用している場合、カスタム・アイデンティティとJava 標準信頼を選択します 13. 「保存」をクリックします。 14. 「カスタム・アイデンティティ・キーストア」で、署名付きWebLogic Server証明書がインストールされているキー ストアのパスを入力します。 15. 「カスタム・アイデンティティ・キーストアのタイプ」で、jksと入力します。 16. 「カスタム・アイデンティティ・キーストアのパスフレーズ」および「カスタム・アイデンティティ・キーストアのパスフ レーズを確認」に、キーストアのパスワードを入力します。 17. 「キーストア」で「カスタム・アイデンティティとカスタム信頼」を選択した場合、次を実行します: a. 「カスタム信頼キーストア」で、サーバー証明書に署名したCAのルート証明書が使用できるカスタム・キース トアのパスを入力します。 b. 「カスタム信頼キーストアのタイプ」で、jksと入力します。 c. 「カスタム信頼キーストアのパスフレーズ」および「カスタム信頼キーストアのパスフレーズを確認」に、キース トアのパスワードを入力します。 18. 「保存」をクリックします。 34 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 19. SSL設定を指定します。 a. b. c. 「SSL」を選択します。 「秘密鍵の別名」で、署名付きWebLogic Server証明書のインポートの際に指定した別名を入力します。 「秘密鍵のパスフレーズ」および「秘密鍵のパスフレーズを確認」に、秘密鍵の取得に使用するパスワードを 入力します。 d. 「保存」をクリックします。 20. このホストに属している各管理対象サーバーに対して、 34ページのステップ 6から 35ページのステッ プ 19を実行します。 21. セキュアなレプリケーションを使用可能にして、クラスタのレプリケーション呼出し用のチャネルを提供します。 詳細は、Oracle metalinkのドキュメント1319381.1を参照してください。 a. 管理コンソールで、「環境」を展開し、「クラスタ」を選択します。 b. レプリケーションを選択します。 c. レプリケーションで、セキュアなレプリケーション使用可能を選択(チェック)します。 d. 「保存」をクリックします。 22. 「チェンジ・センター」で、「変更のアクティブ化」をクリックします。 Oracle HTTP Serverに関する手順 サブトピック • ウォレットの作成およびOracle HTTP Serverの証明書のインストール • Oracle HTTP ServerのSSL使用可能化 ウォレットの作成およびOracle HTTP Serverの証明書のインストール デフォルトのウォレットは、Oracle HTTP Serverとともに自動的にインストールされます。デプロイメント内の各 Oracle HTTP Serverに、実際のウォレットを構成する必要があります。 Oracle HTTP Serverの証明書を作成し、インストールするには: 1. Oracle HTTP Serverのホストとなる各マシンで、Wallet Managerを起動します。 • Windows: 「スタート」、「すべてのプログラム」、「Oracle-OHxxxxxx」、「統合管理ツール」、「Wallet Manager」を選択します。 xxxxxxはOracle HTTP Serverインスタンス番号です。 • UNIX: MIDDLEWARE_HOME/ohs/bin/owmを実行してWallet Managerをコマンドラインから起動します。 注: Wallet Managerではグラフィック環境が必要です。 2. 新規で空のウォレットを作成します。 a. Oracle Wallet Managerで、「ウォレット」、「新規」を選択します。 EPM SystemコンポーネントのSSL使用可能化 35 b. 3. 「はい」をクリックしてデフォルトのウォレット・ディレクトリを作成するか、「いいえ」をクリックして選択した場 所にウォレット・ファイルを作成します。 c. 「新規ウォレット」画面の「ウォレット・パスワード」および「パスワードの確認」に、使用するパスワードを入力し ます。 d. 「OK」をクリックします。 e. 確認のダイアログ・ボックスで、「いいえ」をクリックします。 オプション: Oracle HTTP Serverにとって既知のCAを使用していない場合、ルートCA証明書をウォレットに インポートします。 a. 4. Oracle Wallet Managerで、「信頼できる証明書」を右クリックして「信頼できる証明書のインポート」を選 択します。 b. ルートCA証明書を参照して選択します。 c. 「オープン」を選択します。 証明書要求を作成します。 a. b. Oracle Wallet Managerで、「証明書: [空]」を右クリックして「証明書リクエストの追加」を選択します。 証明書要求の作成で、必要な情報を入力します。 共通名について、システムのhostsファイルで使用可能な完全修飾サーバー別名(たとえば、epm.my Company.comまたはepminternal.myCompany.com)を入力します。 5. 6. c. 「OK」をクリックします。 d. 確認のダイアログ・ボックスで、「OK」をクリックします。 e. 作成した証明書要求を右クリックして、「証明書リクエストのエクスポート」を選択します。 f. 証明書要求ファイルの名前を指定します。 証明書要求ファイルを使用して、署名付き証明書をCAから取得します。 署名付き証明書をインポートします。 a. 7. 8. Oracle Wallet Managerで、署名付き証明書の取得に使用した証明書要求を右クリックし、「ユーザー証 明書のインポート」を選択します。 b. 「証明書のインポート」で、「OK」をクリックして証明書をファイルからインポートします。 c. 「証明書のインポート」で、証明書ファイルを選択して「オープン」をクリックします。 ウォレットを便利な場所(EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/ keystores/epmsystemなど)に保存します。 「ウォレット」、「自動ログイン」を選択して自動ログインをアクティブ化します。 Oracle HTTP ServerのSSL使用可能化 Oracle HTTP Serverをホストする各マシンでWebサーバーを再構成した後、作成したウォレットの場所で、デフォ ルト・ウォレットの場所を置き換え、Oracle HTTP Server構成ファイルを更新します。 SSL用にOracle HTTP Serverを構成するには: 1. 36 デプロイメント内の各Oracle HTTP Serverホスト・マシン上のWebサーバーを再構成します。 a. b. このインスタンスのEPM Systemコンフィグレータを開始します。 構成タスクの選択画面で、次の手順を完了し、「次へ」をクリックします。 c. i. すべて選択解除で、選択をクリアします。 ii. Hyperion Foundationタスク・グループを展開し、「Webサーバーの構成」を選択します。 「Webサーバーの構成」で、「次へ」をクリックします。 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 2. d. 「確認」で、「次へ」をクリックします。 e. 「要約」で、「終了」をクリックします。 デプロイメント内の各Oracle HTTP Serverの構成設定を更新します。 a. b. テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_ component/ssl.confを開きます。 SSLWalletディレクティブを見つけ、その値を、証明書をインストールしたウォレットを示すように変更 します。ウォレットをEPM_ORACLE_INSTANCEhttpConfig/ohs/config/OHS/ohs_component/ keystores/epmsystemに作成した場合、SSLWalletディレクティブは次のようになります: SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/ ${COMPONENT_NAME}/keystores/epmsystem" 3. c. ssl.confを保存して閉じます。 デプロイメント内の各Oracle HTTP Serverのmod_wl_ohs.confを更新します。 a. b. テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_ component/mod_wl_ohs.confを開きます。 WLSSLWalletディレクティブが、SSL証明書が格納されているOracle Walletを示していることを確認し ます。 WLSSLWallet MIDDLEWARE_HOME /ohs/bin/wallets/myWallet 例: C:/Oracle/Middleware/ohs/bin/wallets/myWallet c. mod_wl_ohs.confを保存して閉じます。 サーバーおよびEPM Systemの再起動 デプロイメント内のすべてのサーバーを再起動し、その後各サーバーのEPM Systemを開始します。 デプロイメントのテスト SSLデプロイメントが完了したら、すべてが機能していることを確認します。 デプロイメントをテストするには: 1. ブラウザを使用して、次のセキュアなEPM WorkspaceのURLにアクセスします: 外部通信用のサーバー別名にepm.myCompany.comを、SSLポートに4443を使用した場合、EPM Workspace のURLは次のようになります: https://epm.myCompany.com:4443/workspace/index.jsp 2. 3. 「ログオン」画面で、ユーザー名とパスワードを入力します。 「ログオン」をクリックします。 EPM SystemコンポーネントのSSL使用可能化 37 4. デプロイされたEPM Systemコンポーネントにセキュアにアクセスできていることを確認します。 SSL使用可能な外部ユーザー・ディレクトリの構成 サブトピック • 前提 • ルートCA証明書のインポート • 外部ユーザー・ディレクトリの構成 前提 • Shared Services Consoleで構成する予定の外部ユーザー・ディレクトリはSSL使用可能です。 • ユーザー・ディレクトリをSSL使用可能にするために、よく知られたサードパーティCAからの証明書を使用しなかっ た場合、サーバー証明書に署名したCAのルート証明書のコピーがあります。 ルートCA証明書のインポート ユーザー・ディレクトリをSSL使用可能にするために、よく知られたサードパーティCAからの証明書を使用しなかった 場合、サーバー証明書に署名したCAのルート証明書を次のキーストアにインポートする必要があります: keytoolなどのツールを使用して、ルートCA証明書をインポートします。 • すべてのEPM Systemサーバー: ○Sun JVMキーストア: MIDDLEWARE_HOME/jdk160_35/jre/lib/security/cacerts ○JRockit JVMキーストア: MIDDLEWARE_HOME/jrockit_160_37/jre/lib/security/cacerts • 各EPM Systemコンポーネント・ホスト・マシンのJVMに使用されるキーストア。デフォルトでは、EPM Systemコ ンポーネントは次のキーストアを使用します: MIDDLEWARE_HOME/jdk160_35/jre/lib/security/cacerts 外部ユーザー・ディレクトリの構成 Shared Services Consoleを使用して、ユーザー・ディレクトリを構成します。ユーザー・ディレクトリの構成時、「SSL 使用可能」オプションを選択し、EPM Systemセキュリティでセキュア・プロトコルを使用してユーザー・ディレクトリ と通信するよう指定する必要があります。EPM SystemセキュリティとLDAP対応のユーザー・ディレクトリ(Oracle Internet Directory、Microsoft Active Directoryなど)間の接続でSSL使用可能にすることができます。 『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のユーザー・ディレクトリの構 成に関する項を参照してください。 38 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 WebサーバーでのSSLの停止 サブトピック • • • • デプロイメント・アーキテクチャ 前提 EPM Systemの構成 デプロイメントのテスト デプロイメント・アーキテクチャ このシナリオでは、SSLは EPM Systemクライアント(ブラウザなど)とOracle HTTP Serverの間の通信リンクを 保護するために使用されます。概念を図で示します: EPM SystemコンポーネントのSSL使用可能化 39 前提 この構成では、Webサーバー上で2つのサーバー別名(例: epm.myCompany.comとempinternal.myCompany. com)を使用します。1つはWebサーバーとブラウザの間の外部通信用、もう1つはEPM Systemサーバー間の内部通 信用です。サーバー別名がマシンのIPアドレスを示し、DNSを介して解決可能であることを確認してください。 ブラウザとの外部通信(例: epm.myCompany.comを使用)をサポートする署名付き証明書が、(セキュアな外部通信 をサポートする仮想ホストが定義されている) Webサーバーにインストールされている必要があります。この仮想ホス トは、SSLを終了し、Oracle HTTP ServerにHTTP要求を転送する必要があります。 EPM Systemの構成 EPM Systemコンポーネントのデフォルト・デプロイメントは、WebサーバーでのSSL停止をサポートしています。追加 のアクションは必要ありません。 EPM Systemを構成する際、論理Webアプリケーションが、内部通信用に作成された仮想ホスト(例: empinternal.myCompany.com)をポイントしていることを確認します。EPM Systemをインストールし、構成するに は、次の情報ソースを参照してください: • 『Oracle Enterprise Performance Management Systemインストールおよび構成ガイド』 • Oracle Enterprise Performance Management Systemインストール概要 デプロイメントのテスト デプロイメント・プロセスが完了したら、次のセキュアなEPM WorkspaceのURLに接続して、すべてが機能してい ることを確認します: https://virtual_host_external:SSL_PORT/workspace/index.jsp たとえば、https://epm.myCompany.com:443/workspace/index.jsp(443はSSLポート)などです。 Financial Reporting Studioの暗号化の有効化 暗号化されたRMI通信用のOracle Hyperion Financial Reporting Studioを構成するには、JVMスタート アップ・パラメータ(UNIXサーバーのシェル・スクリプト・ファイル)またはJVMOption Windowsレジストリ・エントリ (Windowsサーバー)に次を追加します。 -Djavax.net.ssl.trustStore= TRUSTSTORE_LOCATION TRUSTSTORE_LOCATIONを、CAのルート証明書をインストールしたキーストアの絶対的な場所と置き換えます。 Financial Reporting Studioにこのパラメータを追加するレジストリの場所は、次のとおりです: 40 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 • 32ビットWindowsサーバー: HKEY_LOCAL_MACHINE\SOFTWARE\Hyperion Solutions\Hyperion Reports \HReports\JVM • 64ビットWindowsサーバー: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Hyperion Solutions \Hyperion Reports\HReports\JVM Financial ReportingにJVMパラメータを追加する場所は、HKEY_LOCAL_MACHINE\SOFTWARE\Hyperion Solutions\FinancialReporting0\HyS9FRReportsです。 JVMパラメータを追加したら、JVMOptionCount DWordを増加させて、追加したパラメータを反映し、サーバー・プロ セスを再起動します。 Essbase用SSL サブトピック • • • • • • • 概要 デフォルトのデプロイメント 必要な証明書とその場所 EssbaseとSSL使用可能なEPM System Essbaseコンポーネントのインストールとデプロイ 信頼できるサードパーティCA証明書のEssbaseへの使用 セッションごとのSSL接続の確立 概要 Essbaseでは、一方向SSLのみサポートされます。一方向SSLでは、Essbaseインスタンス(サーバーとエージェント) は証明書を使用してセキュリティ保護されます。 この項では、Essbaseインスタンスとコンポーネント(MaxL、Oracle Essbase Administration Services サーバー、Oracle Essbase Studioサーバー、Oracle Hyperion Provider Services、Foundation Services、Planning、Financial ManagementおよびShared Servicesレジストリなど)間の通信の保護に使用 されるデフォルト証明書を置き換える手順を説明します。 デフォルトのデプロイメント Essbaseは、SSLモードおよび非SSLモードで機能するようデプロイできます。Essbaseエージェントは、セキュアで ないポートでリスニングしますが、セキュアなポートでリスニングするよう構成することもできます。セキュアなポートに アクセスするすべての通信はSSL接続として処理されます。クライアントがEssbaseエージェントに非SSLポートで 接続すると、接続は非SSL接続として処理されます。コンポーネントは、Essbaseエージェントに対して非SSL接続と SSL接続を同時に確立できます。 ログイン時にセキュアなプロトコルとポートを指定することで、セッションごとにSSLを制御できま す。 49ページのセッションごとのSSL接続の確立を参照してください。 SSLが有効な場合、Essbaseインスタンス内の通信はすべて暗号化され、データのセキュリティが保障されます。 EPM SystemコンポーネントのSSL使用可能化 41 セキュアなモードでのEssbaseコンポーネントのデフォルトのデプロイメントでは、主にテストを目的とする場合は、自 己署名された証明書を使用してSSL通信を有効にしす。本番環境でEssbaseをSSL使用可能にするには、よく知ら れたサードパーティCAから発行された証明書を使用することをお薦めします。 通常、Oracle Walletに、Essbase RTC (C API)を使用するクライアントとのSSL通信を有効にする証明書が保 管され、Javaキーストアに、通信にJAPIを利用するコンポーネントとのSSL通信を有効にする証明書が保管されま す。SSL通信を確立するために、Essbaseクライアントとツールは、Essbaseサーバーの証明書に署名したCAのルー ト証明書を保管します。 42ページの必要な証明書とその場所を参照してください。 必要な証明書とその場所 よく知られたサードパーティCAからの証明書を使用して、本番環境のEssbaseをSSL使用可能にすることをお薦め します。デフォルトの自己署名付き証明書は、テスト目的で使用します。 注: Essbaseでは、1つのSSL証明書で複数のサブドメインをセキュアにできるワイルドカード証明書 の使用をサポートしています。ワイルドカード証明書を使用すると、管理の時間とコストを削減でき ます。 ホスト名チェックが有効な場合、ワイルドカード証明書は使用できません。 42 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 次の証明書が必要です: • ルートCA証明書。 Essbase RTC (C API)を使用してEssbaseとの接続を確立するコンポーネントの場合、ルートCA証明書を Oracle Walletに保管する必要があります。JAPIを使用して接続を確立するコンポーネントの場合、ルートCA証 明書をJavaキーストアに保管する必要があります。必要な証明書とその場所を次の表に示します。 注: ルート証明書がOracle Walletにすでにインストールされた、よく知られたサードパーティCAからの 証明書を使用している場合、ルートCA証明書をインストールする必要はありません。 • EssbaseサーバーとEssbaseエージェント用の署名付き証明書。 表1 必要な証明書とその場所 1 2 コンポーネント キーストア 証明書 MaxL Oracle Wallet ルートCA証明書 Administration Servicesサーバー Oracle Wallet ルートCA証明書 Provider Services Oracle Wallet ルートCA証明書 EPMシステム・データベース Oracle Wallet ルートCA証明書 Essbase Studioサーバー Javaキーストア ルートCA証明書 Planning • Oracle Wallet ルートCA証明書 • Javaキーストア Financial Management Javaキーストア ルートCA証明書 Essbase (サーバーおよびエージェン ト)3 • Oracle Wallet • ルートCA証明書 • Javaキーストア • Essbaseサーバーとエージェント用 の署名付き証明書 Shared Servicesリポジトリ 1 同様のキーストアを使用する複数のコンポーネントのサポートには、1つのキーストアのインスタンスのみ必要です。 複数のコンポーネントで、キーストアにインストールされているルート証明書を使用できます。 3 証明書は、デフォルトのOracle WalletおよびJavaキーストアにインストールされている必要があります。 2 EssbaseとSSL使用可能なEPM System SSLを使用してEPM Systemをセキュリティ保護しても、EssbaseはSSL使用可能になりません。 SSL使用可能なEPM SystemにデプロイされているEssbaseインスタンスに影響を及ぼす設定は、Shared ServicesレジストリにあるJDBC接続設定のみです。EPM System Webコンポーネントが、セキュアなJDBC接続 を使用してFoundation Servicesデータベースと通信するよう構成されている場合、Shared Servicesレジストリに は、セキュアなJDBC接続文字列が含まれます。このシナリオでは、Essbaseで使用されるルートCA証明書をデータ ベース・サーバーに手動でインストールします。 EPM SystemコンポーネントのSSL使用可能化 43 データベース・サーバーおよびクライアントのSSL使用可能化の詳細は、データベースのドキュメントを参照してくださ い。 Essbaseコンポーネントのインストールとデプロイ 構成プロセスで、セキュアなエージェント・ポート(デフォルトは6423)を選択できます。このポートはEssbaseの構成 時に変更できます。デフォルトでは、デプロイメント・プロセスで自己署名された必要な証明書がインストールされ、テ スト用に機能上セキュアなデプロイメントが作成されます。 Oracle HTTP Serverがインストールされている場合、Oracle Hyperion Enterprise Performance Management Systemインストーラで、Oracle Walletと自己署名された証明書がEssbaseインスタンスをホス トするマシンのARBOR_PATH内にインストールされます。単一ホストのデプロイメントでは、この証明書がすべての Essbaseコンポーネントで共有されます。 信頼できるサードパーティCA証明書のEssbaseへの使用 サブトピック • • • • 証明書要求の作成と証明書の取得 ルートCA証明書の取得とインストール 署名付き証明書のインストール デフォルト設定の更新 証明書要求の作成と証明書の取得 証明書要求を生成して、EssbaseサーバーとEssbaseエージェントをホストするサーバー用の証明書を取得します。 証明書要求には、識別名(DN)に固有の暗号化された情報が含まれます。証明書要求を署名機関に送信してSSL 証明書を取得します。 keytoolやOracle Wallet Managerなどのツールを使用して証明書要求を作成します。証明書要求の作成の詳細 は、使用しているツールのドキュメントを参照してください。 keytoolを使用する場合、次のようなコマンド使用して証明書要求を作成します: keytool -certreq -alias essbase_ssl -file C:/certs/essabse_server_csr -keypass password -storetype jks -keystore C:\oracle\Middleware\EPMSystem11R1\Essbase_ssl \keystore -storepass password ルートCA証明書の取得とインストール ルートCA証明書は、SSLのサポートに使用される証明書の有効性を確認します。これには、証明書を確認するため に証明書の署名に使用された秘密鍵を照合する対象の公開鍵が含まれます。SSL証明書に署名した認証局から ルートCA証明書を取得できます。 Essbaseサーバーまたはエージェントに接続するクライアントに、Essbaseサーバー証明書に署名したCAの ルート証明書をインストールします。ルート証明書は、必ずクライアントに適したキーストアにインストールしま す。 42ページの必要な証明書とその場所を参照してください。 44 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 注: 複数のコンポーネントで、サーバー・マシンにインストールされているルートCA証明書を使用できま す。 Oracle Wallet Oracle Wallet内にCAルート証明書が必要なコンポーネントのリストは、 43ページの表 1を参照してください。 ウォレットを作成するか、デフォルトの自己署名付き証明書がインストールされているデモ・ウォレットに証明書をイン ストールします。 ウォレットの作成とルートCA証明書のインポートの詳細な手順については、Oracle Wallet Managerのドキュメント を参照してください。 Javaキーストア Javaキーストア内にルートCA証明書が必要なコンポーネントのリストは、 43ページの表 1を参照してください。 デフォルトの自己署名付き証明書がインストールされているキーストアに証明書を追加するか、証明書を保管するた めのキーストアを新たに作成します。 注: 多くのよく知られたサードパーティCAのルートCA証明書は、Javaキーストアにすでインストールさ れています。 詳細な手順については、使用しているツールのドキュメントを参照してください。keytoolを使用している場合、次の ようなコマンドを使用してルート証明書をインポートします: keytool -import -alias blister_CA -file c:/certs/CA.crt -keypass password -trustcacerts -keystore C:\Oracle\Middleware\EPMSystem11R1\Essbase_ssl \keystore -storepass password 署名付き証明書のインストール EssbaseサーバーとEssbaseエージェントをホストするサーバーに署名付きSSL証明書をインストールしま す。Essbase RTC (C API)を使用してEssbaseサーバーまたはエージェントとの接続を確立するコンポーネントの 場合、証明書をルートCA証明書とともにOracle Walletに保管する必要があります。JAPIを使用してEssbaseサー バーまたはエージェントとの接続を確立するコンポーネントの場合、ルートCA証明書と署名付きSSL証明書をJava キーストアに保管する必要があります。詳細は、次の情報ソースを参照してください: • Oracle Wallet Managerのドキュメント • 証明書のインポートに使用するツール(keytoolなど)のドキュメントまたはオンライン・ヘルプ keytoolを使用する場合、次のようなコマンドを使用して証明書をインポートします: EPM SystemコンポーネントのSSL使用可能化 45 keytool -import -alias essbase_ssl -file C:/certs/essbase_ssl_crt -keypass password -keystore C:\Oracle\Middleware\EPMSystem11R1\Essbase_ssl\keystore -storepass password デフォルト設定の更新 サブトピック • EssbaseのSSL設定の更新 • JAPIクライアント用のSSLプロパティのカスタマイズ • Essbase C APIを使用するコンポーネントに使用可能な暗号スイート C APIを使用するコンポーネント(Essbaseサーバーとクライアント)のSSL設定は、essbase.cfgに値を指定してカ スタマイズします。 EssbaseサーバーのSSL設定は、essbase.cfgに値を指定してカスタマイズします。 EssbaseのSSL設定の更新 essbase.cfgを編集して、次のようなEssbaseのSSL設定をカスタマイズします: • セキュア・モードを有効にする設定 • クリア・モードを有効にする設定 • クライアントとの通信で優先されるモード(クライアントでのみ使用) • セキュアなポート • 暗号スイート • Oracle Walletのパス essbase.cfgを更新するには: 1. 2. テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/ essbase.cfgを開きます。 必要に応じて設定を入力します。デフォルトのEssbase設定は暗黙的です。デフォルトの動作を変更する必 要がある場合、essbase.cfg内のカスタム動作の設定を追加します。たとえば、デフォルトでEnableClear Modeが適用され、それにより、Essbaseサーバーは、暗号化されていないチャネルで通信することが有効化 されます。Essbaseサーバーの、暗号化されていないチャネルで通信する機能をオフにするには、essbase. cfgでEnableClearMode FALSEを指定する必要があります。 46ページの表 2を参照してください。 表2 EssbaseのSSL設定 設定 EnableClearMode 説明 2 1 EssbaseアプリケーションとEssbaseエージェントとの間で 暗号化されていない通信を有効にします。このプロパティ がFALSEに設定されている場合、EssbaseはSSL要求を処 理できません。 デフォルト: EnableClearMode TRUE 例: EnableClearMode FALSE 46 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 1 設定 説明 EnableSecureMode EssbaseクライアントとEssbaseエージェントとの間でSSL 暗号化通信を有効にします。SSLをサポートするには、この プロパティをTRUEに設定する必要があります。 デフォルト: FALSE 例: EnableSecureMode TRUE SSL通信で使用される暗号スイートの優先順のリス ト。 49ページのEssbase C APIを使用するコン SSLCipherSuites ポーネントに使用可能な暗号スイートを参照してくださ い。Essbaseエージェントで、これらの暗号スイートの1つが SSL通信に使用されます。エージェントが暗号スイートを選 択する際、リスト内の最初の暗号スイートに最も高い優先 度が適用されます。 デフォルト: SSL_RSA_WITH_RC4_128_MD5 例: SSLCipherSuites SSL_RSA_WITH_AES_256_CBC_ SHA, SSL_RSA_WITH_DES_CBC_SHA エージェントがリスニングするセキュアなポート。 AgentSecurePort デフォルト: 6423 例: AgentSecurePort 16001 ルートCA証明書と署名付き証明書を保管するOracle Walletの場所(1,024文字未満)。 WalletPath デフォルト: ARBORPATH/bin/wallet 例: WalletPath/usr/local/wallet ClientPreferredMode 3 クライアント・セッションのモード(セキュアまたはクリア)。こ のプロパティがSecureに設定されている場合、SSLモード がすべてのセッションに使用されます。 このプロパティがClearに設定されている場合、クライアン ト・ログイン要求にセキュアなトランスポート・キーワードが含 まれているかどうかに基づいてトランスポートが選択されま す。 49ページのセッションごとのSSL接続の確立を参 照してください。 デフォルト: CLEAR 例: ClientPreferredMode SECURE 1 essbase.cfgにプロパティがない場合、デフォルト値が適用されます。 2 EnableClearModeとEnableSecureModeがFALSEに設定されると、Essbaseは操作不能になります。 3 クライアントはこの設定を使用して、Essbaseでセキュアな通信を確立するかセキュアでない通信を確立するかを決定します。 3. essbase.cfgを保存して閉じます。 EPM SystemコンポーネントのSSL使用可能化 47 JAPIクライアント用のSSLプロパティのカスタマイズ JAPIに依存するEssbaseコンポーネントに対して、いくつかのデフォルト・プロパティが事前定義されま す。essbase.propertiesにプロパティを含めることによって、デフォルト・プロパティをオーバーライドできます。 注: 48ページの表 3で特定される数個のSSLプロパティのみが、essbase.propertiesで外部 化されます。外部化されないプロパティを追加する必要があります。 JAPIクライアントのSSLプロパティを更新するには: 1. 2. テキスト・エディタを使用して、EPM_ORACLE_HOME/common/EssbaseJavaAPI/11.1.2.0/bin/essbase. propertiesを開きます。 必要に応じてプロパティを更新します。カスタマイズ可能なJAPIクライアントのプロパティの詳細 は、 48ページの表 3を参照してください。 目的のプロパティがessbase.propertiesに含まれていない場合、そのプロパティを追加します。 表3 JAPIクライアントのデフォルトSSLプロパティ プロパティ 説明 olap.server.ssl.alwaysSecure すべてのEssbaseインスタンスに対してクライアントで使 用されるモードを設定します。このプロパティ値をtrueに設 定すると、SSLモードが適用されます。 デフォルト: false olap.server.ssl.securityHandler プロトコルの処理用パッケージ名。この値を変更して別の ハンドラを指定できます。 デフォルト: java.protocol.handler.pkgs olap.server.ssl.securityProvider OracleではSun SSLプロトコル実装が使用されます。この 値を変更すると、別のプロバイダを指定できます。 デフォルト: com.sun.net.ssl.internal.www. protocol olap.server.ssl.supportedCiphers セキュアな通信用に有効化される追加の暗号のカンマ区 切りリスト。Essbaseでサポートされる暗号のみを指定する 必要があります。 49ページのEssbase C APIを使用 するコンポーネントに使用可能な暗号スイートを参照してく ださい。 例: SSL_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_ WITH_AES_128_CBC_SHA olap.server.ssl.trustManagerClass 署名の確認と証明書の有効期限のチェックによるSSL証 明書の検証に使用するTrustManagerクラス。 デフォルトでは、すべての検証チェックを実施するようには このプロパティは設定されません。 48 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 プロパティ 説明 誤りチェックが実施されないようにするには、このパラメー タの値をcom.essbase.services.olap.security. EssDefaultTrustManagerに設定します。これは、すべて の検証チェックを成功とするデフォルトのTrustManager クラスです。 カスタムTrustManagerを実装するには、javax.net. ssl.X509TrustManagerインタフェースを実装するTrust Managerクラスの完全修飾クラス名を指定します。 例:com.essbase.services.olap.security.Ess DefaultTrustManager 3. 4. essbase.propertiesを保存して閉じます。 すべてのEssbaseコンポーネントを再起動します。 Essbase C APIを使用するコンポーネントに使用可能な暗号スイート 次の暗号スイートが、EssbaseサーバーのSSL実装でサポートされます。 • SSL_RSA_WITH_AES_256_CBC_SHA • SSL_RSA_WITH_AES_128_CBC_SHA • SSL_RSA_WITH_3DES_EDE_CBC_SHA • SSL_RSA_WITH_DES_CBC_SHA • SSL_RSA_WITH_RC4_128_SHA • SSL_RSA_WITH_RC4_128_MD5 セッションごとのSSL接続の確立 MaxLなどのEssbaseコンポーネントでは、トランスポート・キーワードとしてsecureを使用してEssbaseエージェント に接続すると、セッション・レベルでSSLを制御できます。たとえば、次のいずれかのコマンドをMaxL Consoleから 実行すると、MaxLとEssbaseエージェントとの間にセキュアな接続を確立できます。 login admin welcome1 on hostA: PORT :secure login admin welcome1 on hostA:secure セッションごとの制御は、essbase.cfgに指定された構成設定より優先されます。トランスポート・キーワードが指定 されていない場合、Essbaseクライアントでは、ClientPreferredModeに設定された値を使用して、Essbaseとの セキュアな接続を開始するかどうかを決定します。ClientPreferredMode設定がsecureに設定されていない場 合、通信は非セキュアなチャネルで行われます。 EPM SystemコンポーネントのSSL使用可能化 49 50 セキュリティ・エージェン トでのSSOの使用可能 3 この項の内容: サポートされているSSOメソッド ................................................................................................... Oracle Access Managerからのシングル・サインオン .................................................................. OracleASシングル・サインオン .................................................................................................. SSO用のEPM System製品の保護 ........................................................................................... SiteMinder SSO ................................................................................................................... Kerberosシングル・サインオン .................................................................................................. SSO用のEPM Systemの構成 .................................................................................................. Smart Viewに対するシングル・サインオンのオプション ................................................................. 51 53 55 61 65 68 82 83 サポートされているSSOメソッド サブトピック • • • • HTTPヘッダー カスタム・ログイン・クラス HTTP認証ヘッダー HTTP要求からリモート・ユーザーを取得 SSOでは、Webアイデンティティ管理ソリューションで、認証済ユーザーのログイン名がEPM System製品に渡され る必要があります。次の標準的なEPM Systemの方法を使用して、EPM Systemと市販あるいはカスタムのWeb ベースのSSOソリューションを統合できます。 • 52ページのHTTPヘッダー • 52ページのカスタム・ログイン・クラス • 53ページのHTTP認証ヘッダー • 53ページのHTTP要求からリモート・ユーザーを取得 注意 セキュリティ対策として、組織でアイデンティティ伝播用のヘッダーにユーザー・アイデンティティを 持つメソッドを使用する場合、Webサーバーとアプリケーション・サーバー間でクライアント証明書認 証(双方向SSL)を実装することをお薦めします。 セキュリティ・エージェントでのSSOの使用可能 51 HTTPヘッダー Oracle Single Sign-on (OSSO)、SiteMinderまたはOracle Access ManagerをWebアイデンティティ管理ソ リューションとして使用中の場合、EPM Systemセキュリティでは自動的にカスタムHTTPヘッダーを選択して、認証 済ユーザーのログイン名をEPM Systemコンポーネントに渡します。 EPM System製品ユーザーのログイン名は、Shared Servicesでユーザー・ディレクトリを構成する際に指定され るログイン属性によって決定されます。ログイン属性の簡単な説明については、『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のOID、Active Directoryおよびその他のLDAPベースのユー ザー・ディレクトリの構成に関する項を参照してください。 HTTPヘッダーには、ログイン属性として設定される属性の値が含まれている必要があります。たとえば、uidがログイ ン属性値である場合、HTTPヘッダーは、uid属性の値を持っている必要があります。 カスタムHTTPヘッダーの定義および発行の詳細は、Webアイデンティティ管理ソリューションのドキュメントを参照 してください。 EPM Systemセキュリティにより、HTTPヘッダーが分析され、Shared Servicesで構成されたユーザー・ディレクトリ に対して持っているログイン名が検証されます。 カスタム・ログイン・クラス ユーザーがログインすると、Webアイデンティティ管理ソリューションでは、ユーザーがディレクトリ・サーバーに対して認 証され、SSOメカニズムで認証済ユーザーの資格証明がカプセル化されて、下流のシステムでSSOが使用可能に なります。Webアイデンティティ管理ソリューションで、EPM System製品によってサポートされないメカニズムが使 用されるか、ログイン属性の値がSSOメカニズムで使用できない場合、カスタム・ログイン・クラスを使用し、ログイン属 性の値を導いてEPM System製品に渡すことができます。 カスタム・ログイン・クラスを使用することによって、X509証明書ベースの認証を使用するセキュリティ・エージェン トとEPM Systemを統合できます。この認証メカニズムを使用するには、EPM Systemコンポーネント間のSSOイ ンタフェースを定義するための標準Shared Services APIの実装と、Webアイデンティティ管理ソリューションが必 要です。カスタム・ログイン・クラスでは、ログイン属性の値がEPM System製品に渡される必要があります。ログイン 属性の簡単な説明については、『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイ ド』のOID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成に関する項を参照してく ださい。サンプル・コードおよび実装手順については、 135ページの付録B「カスタム・ログイン・クラスの実装」を 参照してください。 カスタム・ログイン・クラス(デフォルト名com.hyperion.css.sso.agent.X509CertificateSecurityAgent Impl)を使用するには、com.hyperion.css.CSSSecurityAgentIFインタフェースの実装をこのクラスパスで使 用できる必要があります。CSSSecurityAgentIFでは、ユーザー名とパスワードを取得するゲッター・メソッドが定義さ れます(オプション)。インタフェースでnullのパスワードが戻される場合、セキュリティ認証ではプロバイダが信頼済 として扱われ、構成済プロバイダにおけるユーザーの存在が確認されます。インタフェースでパスワードのnull以外の 値が戻される場合、EPM Systemでは、この実装により戻されるユーザー名とパスワードを使用して要求の認証が試 みられます。 CSSSecurityAgentIFは、getUserNameとgetPasswordの2つのメソッドから構成されています。 52 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 getUserNameメソッド このメソッドでは、認証用のユーザー名が戻されます。 java.lang.String getUserName( javax.servlet.http.HttpServletRequest req, javax.servlet.http.HttpServletResponse res) throws java.lang.Exception reqパラメータでは、ユーザー名を判別するために使用される情報を持つHTTP要求が識別されます。resパラメータ は使用されません(下位互換性にプリセット)。 getPasswordメソッド このメソッドでは、認証用のクリアテキストのパスワードが戻されます。パスワードの取得はオプションです。 java.lang.String getPassword( javax.servlet.http.HttpServletRequest req, javax.servlet.http.HttpServletResponse res) throws java.lang.Exception reqパラメータでは、パスワードを判別するために使用される情報を持つHTTP要求が識別されます。resパラメータ は使用されません(下位互換性にプリセット)。 HTTP認証ヘッダー EPM SystemセキュリティはHTTP認証ヘッダーの使用をサポートし、ログイン属性の値をWebアイデンティティ管理 ソリューションからEPM System製品に渡します。EPM System製品は、認証ヘッダーを分析して、ユーザーのログイ ン名を取得します。 HTTP要求からリモート・ユーザーを取得 EPM SystemセキュリティはHTTP要求の使用をサポートし、ログイン属性の値をWebアイデンティティ管理ソリュー ションからEPM System製品に渡します。Webアイデンティティ管理ソリューションがログイン属性(setRemote User関数を使用して設定される)の値を含むHTTP要求を渡す場合、このSSOメソッドを使用します。 Oracle Access Managerからのシングル・サインオン EPM Systemは、ログイン属性値を含むカスタムHTTPヘッダー(デフォルト名はHYPLOGIN)を受け入れることで Oracle Access Managerと統合されます。ログイン属性は、Shared Servicesで外部ユーザー・ディレクトリを構 成する際に設定されます。ログイン属性の簡単な説明については、『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のOID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクト リの構成に関する項を参照してください。 セキュリティ・エージェントでのSSOの使用可能 53 EPM Systemにログイン属性を提供する任意のヘッダー名を使用できます。ヘッダー名は、Oracle Access ManagerからのSSO用にShared Servicesを構成する際に使用します。 EPM Systemは、ログイン属性の値を使用して、構成されているユーザー・ディレクトリ(この場合は、Oracle Access Managerがユーザーの認証に使用するユーザー・ディレクトリ)に対してユーザーを認証し、EPM System全 体でSSOを有効にするEPM SSOトークンを生成します。ユーザーのプロビジョニング情報がネイティブ・ディレクトリ で確認され、ユーザーにEPM Systemリソースが許可されます。 注: シック・クライアントであるAdministration Servicesコンソールは、Oracle Access Managerか らのSSOをサポートしていません。 Oracle Access Managerの構成およびHTTPヘッダーおよびポリシー・ドメインの設定などのタスクの実行に関す る情報は、Oracle Access Managerのドキュメントに記載されています。このガイドは、次のタスクが完了し、機能 しているOracle Access Managerのデプロイメントを想定しています。 • EPM Systemコンポーネントに必要なポリシー・ドメインの設定 • ログイン属性値をEPM Systemに渡すHTTPヘッダーの構成 Oracle Access Manager 11gをWeb Analysisとともに使用している場合、次のようにチャレンジ・パラメータを 設定することにより、認証スキーム(デフォルトではLDAPScheme)のhttpOnly SSO cookie機能を無効にします: ssoCookie=disablehttponly • 61ページの保護するリソースにリストされたEPM Systemリソースの保護。保護されたリソースへのアクセス 要求はOracle Access Managerによって処理されます。 • 62ページの保護しないリソースにリストされたEPM Systemリソースの保護解除。保護されないリソースへの アクセス要求はOracle Access Managerによって処理されません。 EPM SystemにOracle Access ManagerからのSSOを構成するには: 1. Oracle Access ManagerがEPM Systemで外部ユーザー・ディレクトリとしてユーザーを認証するために使用 するユーザー・ディレクトリを追加します。『Oracle Enterprise Performance Management Systemユーザー・セキュ リティ管理ガイド』のOID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成に関す る項を参照してください。 注: 「接続情報」画面で、ユーザー・ディレクトリが信頼できるSSOソースであることを示す「信頼 済」チェック・ボックスが選択されていることを確認します。 2. EPM SystemにSSOを構成します。 82ページのSSO用のEPM Systemの構成を参照してください。 「SSOプロバイダ/エージェント」リストから、Oracle Access Managerを選択します。Oracle Access ManagerからのHTTPヘッダーでHYPLOGIN以外の名前を使用する場合、「SSOメカニズム」リストの隣にある テキスト・ボックスにカスタム・ヘッダーの名前を入力します。 54 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 3. Oracle Data Relationship Managementのみ: a. b. Shared Servicesの認証にData Relationship Managementを構成します。 Data Relationship ManagementコンソールでSSOを使用可能にします。 詳細は、Data Relationship Managementのドキュメントを参照してください。 OracleASシングル・サインオン OracleAS Single Sign-on (OSSO)ソリューションでは、Oracle Internet Directory (OID)をユーザー・ディレクト リとして使用して、WebアプリケーションへのSSOアクセスを提供します。ユーザーは、OIDで定義されたユーザー名と パスワードを使用して、EPM System製品にログインします。 プロセス・フロー OSSOプロセス: 1. EPM System URL(http://OSSO_OHS_Server_NAME:OSSO_OHS_Server_PORT/interop/index.jspな ど)を使用して、OSSOで保護されたアプリケーションとして定義されるEPM Systemコンポーネントにアクセスし ます。 2. URLがOSSOで保護されているため、Oracle HTTP Serverにデプロイされたmod_ossoは要求をインターセプ トします。mod_ossoを使用して、Oracle HTTP Serverは有効なcookieを確認します。有効なcookieが要求で セキュリティ・エージェントでのSSOの使用可能 55 使用不可能な場合、Oracle HTTP Serverは、OIDに対して認証される資格証明を要求するOSSOサーバーに ユーザーをリダイレクトします。 3. OSSOサーバーはobSSOCookieを作成し、ブラウザにobSSOCookieを設定するOracle HTTP Server上 のmod_ossoモジュールに制御を返します。また、mod_wl_ohs(WebLogic Server)またはmod_proxy(IIS Server)を介して、EPM Systemリソースに要求をリダイレクトします。EPM Systemリソースに要求を転送する 前に、Oracle HTTP Serverは、EPM SystemセキュリティでSSOを使用可能にするのに使用するプロキシ・リ モート・ユーザー・ヘッダーを設定します。 4. EPM Systemコンポーネントは、プロキシ・リモート・ユーザーからアイデンティティを取得するユーザーがOIDに存 在することを確認します。このプロセスが機能するには、OSSOサーバーを使用して構成されるOIDをShared Servicesの外部ユーザー・ディレクトリとして構成する必要があります。 前提条件 1. 完全な機能のOracle Application Serverインフラストラクチャ。 Oracle Application Serverインフラストラクチャを確立するには、Oracle Identity Management Infrastructure 10.1.4をインストールおよび構成します。OSSOが使用可能であることを確認します。Oracle Identity Management Infrastructure 10.1.4をインストールすると、次のコンポーネントが含まれ、OSSOを サポートします。 • Oracle 10g OSSO Server。 • OSSOサーバーで資格証明を検証するのに使用するOID。次のガイドを参照してください: ○Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド ○Oracle Fusion Middleware Oracle Internet Directory管理者ガイド • OSSOサーバーへのフロントエンドとしてのOracle HTTP Server。このインストールには、OSSOのパートナ・ アプリケーションを定義できるmod_ossoが含まれます。 注: このOracle HTTP Serverインスタンスは、OSSOインフラストラクチャの一部です; EPM SystemコンポーネントのOSSOの構成に直接は使用されません。 インストール・プロセス中に、mod_ossoがパートナ・アプリケーションとしてOSSOサーバーに登録されているこ とを確認します。 2. 完全な機能のEPM Systemデプロイメント。 EPM SystemコンポーネントにWebサーバーを構成する場合、EPM SystemコンフィグレータはOracle HTTP Serverに次を構成し、要求をアプリケーション・サーバーにプロキシします: • WebLogic Serverに要求をプロキシするmod_wl_ohs.conf • IIS Serverに要求をプロキシするmod_proxy 56 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 EPM System向けのOSSOの使用可能化 サブトピック • • • • • • • • パートナ・アプリケーションとしてのEPM System Webサーバーの登録 オプション: 仮想ホストの定義 mod_osso.confの作成 osso.confの再配置 Reporting and Analysisのキャッシュ管理構成の追加 OSSO用EPM Systemの構成 オプション: OSSOサーバー上のデバッグ・メッセージの使用可能化 オプション: 保護されたリソースのデバッグ・メッセージの使用可能化 このセクションでは、完全に構成されたOSSOインフラストラクチャがあることを前提としています。『Oracle Application Server管理者ガイド』を参照してください。 パートナ・アプリケーションとしてのEPM System Webサーバーの登 録 Oracle Identity ManagerのSSO登録ツール(ssoreg.shまたはssoreg.bat)を使用して、OSSOサーバーをフロ ントエンドするOracle HTTP Serverのパートナ・アプリケーションとして、EPM System Webサーバーを登録しま す。 OSSOサーバーをフロントエンドするOracle HTTP Serverのホストとなるサーバー上で、この手順を実行します。こ のプロセスでは、選択した場所に難読化されたosso.confを生成および格納します。 パートナ・アプリケーションとしてEPM System Webサーバーを登録するには: 1. 2. OSSOサーバーをフロントエンドするOracle HTTP Serverのホストとなるサーバー上のコンソールを開 き、Oracle HTTP ServerのORACLE_HOME/sso/binディレクトリ(Windowsの場合、C:/OraHome_1/sso/ binなど)に移動します。 -remote_midtierオプションで次のようなコマンドを実行します: ssoreg.bat -site_name epm.myCompany.com -mod_osso_url http://epm.myCompany.com:19400 -config_mod_osso TRUE -update_mode CREATE -remote_midtier -config_file C:\OraHome_1\myFiles\osso.conf 次に、このコマンドで使用されるパラメータについて説明します。この説明では、パラメータ・アプリケーション は、EPM System Webサーバーとして使用されるOracle HTTP Serverを参照します。 • -site_nameは、パートナ・アプリケーションのWebサイト(epm.myCompany.comなど)を識別します。 • -mod_osso_urlは、パートナ・アプリケーションのURLをPROTOCOL://HOST_NAME:PORT形式で示しま す。これは、EPM System Webサーバーが受信クライアント要求を受け入れるURL(http://epm.my Company.com:19000など)です。 • -config_mod_ossoは、パートナ・アプリケーションでmod_ossoを使用することを示します。config_mod_ ossoパラメータを含めてosso.confを生成する必要があります。 セキュリティ・エージェントでのSSOの使用可能 57 • -update_modeは、更新モードを示します。デフォルトのCREATEを使用して、新規レコードを生成します。 • -remote_midtierは、mod_ossoパートナ・アプリケーションが離れた中間層にあることを示します。パートナ・ アプリケーションがOSSOサーバーとは異なるORACLE_HOMEにある場合に、このオプションを使用します。 • -virtualhostは、パートナ・アプリケーションのURLが仮想ホストであることを示します。仮想ホストを使用 していない場合は、このパラメータを使用しないでください。 仮想ホストに結び付けられたパートナ・アプリケーションのURLを登録している場合、httpd.confに仮想ホ ストを定義する必要があります。 58ページのオプション: 仮想ホストの定義を参照してください。 • -config_fileは、osso.confファイルを生成するパスを示します。 オプション: 仮想ホストの定義 パートナ・アプリケーションの登録時に仮想ホストURLを使用する場合、EPM System Webサーバーとして使用され るOracle HTTP Serverのhttpd.confを更新することによって、仮想ホストを定義する必要があります。 仮想ホストを定義するには: 1. 2. テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/ httpd.confを開きます。 次の記述に類似した定義を追加します。この定義は、Webサーバーが、仮想サーバーepm.myCompany.com、 ポートepm.myCompany.com:19400で実行されていることを前提としています。各自の要件に合うように設定 を変更してください。 NameVirtualHost epm.myCompany.com:19400 Listen 19400 <VirtualHost epm.myCompany.com:19400> DocumentRoot "C:/Oracle/Middleware/user_projects/epmsystem1/httpConfig/ohs /config/OHS/ohs_component/private-docs" include "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE} /${COMPONENT_NAME}/mod_osso.conf" </VirtualHost> mod_osso.confの作成 EPM System WebサーバーをフロントエンドするOracle HTTP Server上に、mod_osso.confを作成します。 mod_osso.confを作成するには: 1. 2. テキスト・エディタを使用して、ファイルを作成します。 次のコンテンツをファイルにコピーして、使用する環境に合せてファイルを変更します。 LoadModule osso_module C:/Oracle/Middleware/ohs/ohs/modules/mod_osso.so <IfModule mod_osso.c> OssoIpCheck off OssoIdleTimeout off OssoSecureCookies off OssoConfigFile C:/Oracle/Middleware/user_projects/epmsystem1/httpConfig/ ohs/config/OHS/ohs_component/osso/osso.conf 3. 58 <IfModule mod_osso.c定義内に、次の記述に類似した場所定義を含めて、OSSOを使用して保護する予定 の各リソースを識別します。 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 <Location /interop/> require valid user AuthType Osso </Location> </IfModule> 4. mod_osso.confという名前でファイルを保存します。 osso.confの再配置 EPM System Webサーバーをパートナ・アプリケーションとして登録するプロセス( 57ページのパートナ・アプリ ケーションとしてのEPM System Webサーバーの登録を参照)では、-config_fileディレクティブで識別された場 所に、難読化されたosso.confファイルを作成します。 osso.confを再配置するには: 1. 2. EPM System Webサーバーをパートナ・アプリケーションとして登録( 57ページのパートナ・アプリケーション としてのEPM System Webサーバーの登録を参照)したときに作成されたosso.confを検索します。 mod_osso.conf( 58ページのmod_osso.confの作成を参照)に定義されたOssoConifgFileプロパティ で識別されたディレクトリ(OSSOサーバーをフロントエンドするOracle HTTP Server上)に、osso.confをコ ピーします。 Reporting and Analysisのキャッシュ管理構成の追加 Oracle HTTP Serverのhttpd.confを編集して、Reporting and Analysisのキャッシュ管理構成設定を追加し ます。 キャッシュ管理構成設定を追加するには: 1. 2. テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/ httpd.confを開きます。 Reporting and Analysisキャッシュ管理に関する次のディレクティブを追加します: <Location /WebAnalysis/> OssoSendCacheHeaders off </Location> <Location /workspace/> OssoSendCacheHeaders off </Location> <Location /hr/> OssoSendCacheHeaders off </Location> <Location /HReports/> OssoSendCacheHeaders off </Location> 3. httpd.confを保存して閉じます。 OSSO用EPM Systemの構成 OSSOソリューションと統合されるOIDを、外部ユーザー・ディレクトリとしてEPM Systemで構成し、SSOを使用可 能にします。 セキュリティ・エージェントでのSSOの使用可能 59 OSSO用EPM Systemを構成するには: 1. 2. OSSOソリューションで使用するOIDを外部ユーザー・ディレクトリとして構成します。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のOID、Active Directoryおよびその他の LDAPベースのユーザー・ディレクトリの構成に関する項を参照してください。 EPM SystemでSSOを使用可能にします。 82ページのSSO用のEPM Systemの構成 注: OSSOをアイデンティティ管理ソリューションとして構成するには、「SSOプロバイダ/エージェン ト」で「その他」を選択し、「SSOメカニズム」で「カスタムHTTPヘッダー」を選択します。プロキシ・リモー ト・ユーザーをカスタムHTTPヘッダーの名前として入力します。 3. 4. 少なくとも1つのOIDユーザーをShared Services管理者としてプロビジョニングします。 EPM System製品、およびShared ServicesセキュリティAPIを使用するカスタム・アプリケーションを再起動 します。 注: Shared Servicesで構成済のOIDがEPM System製品を開始する前に必ず実行しているよう にします。 オプション: OSSOサーバー上のデバッグ・メッセージの使用可能化 OSSOサーバー上のデバッグ・メッセージを記録するには、policy.propertiesを変更します。デバッグ・メッセージ はORACLE_HOME/sso/log/ssoServer.logに書き込まれます。 デバッグ・メッセージを記録するには: 1. 2. テキスト・エディタを使用して、OSSOサーバー上のORACLE_HOME/sso/conf/policy.properties(C:\Ora Home_1\sso\conf\policy.propertiesなど)を開きます。 debugLevelプロパティの値をDEBUGに設定します。 debugLevel = DEBUG 3. policy.propertiesを保存して閉じます。 オプション: 保護されたリソースのデバッグ・メッセージの使用可能化 mod_osso.confを使用して保護されたリソースのOSSOデバッグ・メッセージを記録するには、EPM System Web サーバー上のhttpd.confを変更します。デバッグ・メッセージは、EPM_ORACLE_INSTANCE/httpConfig/ohs/ diagnostics/logs/OHS/ohs_component/ohs_component.logに書き込まれます。 保護されたリソースのデバッグ・メッセージを記録するには: 1. 2. 60 テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/ httpd.confを開きます。 OraLogSeverityプロパティの値をTRACEに設定します。 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 OraLogSeverity TRACE:32 3. httpd.confを保存して閉じます。 SSO用のEPM System製品の保護 サブトピック • 保護するリソース • 保護しないリソース ユーザーからのSSO要求がセキュリティ・エージェント(OAM、OSSOまたはSiteMinder)にリダイレクトされるよう に、EPM Systemリソースを保護する必要があります。 Oracle HTTPサーバーでは、mod_ossoを使用してOSSOサーバーにユーザーがリダイレクトされます。ユーザーは、要 求するURLが保護されるmod_ossoで構成される場合にのみ、リダイレクトされます。『Oracle HTTP Server管理者 ガイド』のセキュリティの管理に関する項を参照してください。 SiteMinder SSOのリソース保護は、SiteMinderのドキュメントを参照してください。 保護するリソース 61ページの表 4に、保護される必要のあるコンテキストをリストします。OSSO用にリソースを保護する構文(例 としてinteropを使用)は、次のとおりです: <Location /interop> Require valid-user AuthType Basic order deny,allow deny from all allow from myServer.myCompany.com satisfy any </Location> allow fromパラメータでは、コンテキストの保護をバイパスできる開始サーバーを指定します。 EPM Workspace、Financial ReportingおよびWeb Analysisの場合、次の例に示されたパラメータのみを設定 する必要があります: <Location /workspace> Require valid-user AuthType Basic </Location> 表4 保護するEPM Systemリソース EPM System製品 保護するコンテキスト Shared Services /interop セキュリティ・エージェントでのSSOの使用可能 61 EPM System製品 保護するコンテキスト Oracle Hyperion Reporting and Analysis Framework • /raframework EPM Workspace /workspace Financial Reporting /hr Web Analysis /WebAnalysis Oracle Hyperion EPM Architect /awb Planning /HyperionPlanning Oracle Hyperion Performance Scorecard • /HPSWebReports • /biplus_webservices • /HPSAlerter Oracle Hyperion Strategic Finance /HSFWebServices Oracle Integrated Operational Planning /interlace Financial Management • /hfmadf • /hfmofficeprovider • /hfmsmartviewprovider Data Relationship Management /drm-web-client Administration Services /hbrlauncher FDM /HyperionFDM Oracle Hyperion Calculation Manager /calcmgr Oracle Hyperion Provider Services /aps Oracle Hyperion Profitability and Cost Management /profitability Account Reconciliation Manager /arm Oracle Hyperion Financial Close Management /fcc Oracle Hyperion Disclosure Management1 /mappingtool Oracle Hyperion Financial Data Quality Management, Enterprise Edition /aif 1 SSLで保護されたWebサービスによるDisclosure Managementクライアントの使用をサポートするには、クライアント・マシンに(ルート証明書 から始まる)証明書チェーン全体が必要です。 保護しないリソース 63ページの表 5では、保護する必要のないコンテキストがリストされます。OSSO用にリソースを保護しない構 文(例として/interop/framework(.*)を使用)は、次のとおりです。 <LocationMatch /interop/framework(.*)> Require valid-user AuthType Basic allow from all satisfy any </LocationMatch> 62 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 表5 保護しないEPM Systemリソース EPM System製品 保護しないコンテキスト Shared Services • /interop/framework(.*)1 • /interop/Audit(.*) • /interop/taskflow*2 • /interop/WorkflowEngine/*3 • /interop/TaskReceiver4 • /framework/lcm/HSSMigration Performance Management Architect 5 • /awb/ces.executeAction.do • /awb/lcm.executeAction.do • /awb/appmanager.deployStatusUpdate.do • /awb/jobstask.updateJobStatus.do • /hyperion-bpma-server • /awb/integration.updateApplicationDeploy Status.do/** EPM Workspace • /epmstatic* 6 Planning • /HyperionPlanning/Smartview • /HyperionPlanning/faces/PlanningCentral Oracle Hyperion Reporting and Analysis Framework • /raframework/wsrp4j(.*) • /raframework/ResourceProxy(.*) • /InsightInstaller* 7 Web Analysis* • /WebAnalysis/wsrp4j(.*) • /WebAnalysis/ResourceProxy(.*) Oracle Hyperion Financial Reporting* • /hr/common/HRLogon.jsp • /hr/wsrp4j(.*) • /hr/ResourceProxy(.*) • /hr/services/* • /hr/modules/com/hyperion/reporting/web/ reportViewer/HRStaticReport.jsp Oracle Data Relationship Management /drm-migration-client Oracle Hyperion Calculation Manager /calcmgr/common.performAction.do (Performance Management Architect用) Administration Services • /eas • /easconsole • /easdocs Financial Management • /hfm/EIE/EIEListener.asp • /hfmapplicationservice • /oracle-epm-fm-webservices セキュリティ・エージェントでのSSOの使用可能 63 EPM System製品 保護しないコンテキスト • /hfmlcmservice Planning • /HyperionPlanning/servlet/HspLCMServlet • /HyperionPlanning/servlet/HspAppManager Servlet (Performance Management Architect用) Oracle Hyperion Performance Scorecard • /HPSWebReports/wsrp4j(.*) • /HPSWebReports/ResourceProxy(.*) • /HPSWebReports/action/lcmCallBack Performance Management Architectデータの同期 /DataSync/services* Oracle Hyperion Strategic Finance • /HSFWebServices/HSFWebService.asmx • /HSFWebServices/HSFEntityWebService.asmx Oracle Integrated Operational Planning • /interlace/services/(.*) • /interlace/anteros/(.*) • /interlace/interlace/(.*) • /interlace/WebHelp/(.*) • /interlace/html/(.*) • /interlace/email-book/(.*) Profitability and Cost Management • /profitability/cesagent • /profitability/lcm • /profitability/control • /profitability/HPMApplicationListener Oracle Hyperion Financial Data Quality Management, Enterprise Edition • /aif/services/FDMRuleService Oracle Hyperion Disclosure Management • /discmanwebservices 1 • /aif/services/RuleService • /mappingtool/MappingToolWS (.*)は、すべてにサブディレクトリが含まれることを意味するSiteMinderフォーマットです。 *が付加されたテキスト(例: taskflow*)は、現在のディレクトリ内にあるテキストで始まるもの(例: taskflow)を意味します。 3 /*は、このディレクトリ(サブディレクトリを含む)内にあるものを意味します。 4 ワイルドカードが使用されていない場合、指定したコンテキストのみが保護解除されます。 5 /awb/integration.updateApplicationDeployStatus.do/**は、Oracle Access Managerの統合についてのみ、保護を解除する必 要があります。 6 Oracle Access Managerを使用している場合、このリソースの保護を解除します 7 Oracle Access Managerを使用している場合、このリソースの保護を解除します 2 64 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 SiteMinder SSO サブトピック • • • • • • • プロセス・フロー 注意事項 前提条件 SiteMinder Webエージェントの使用可能化 SiteMinderポリシー・サーバーの構成 EPM System Webサーバーに要求を転送するためのSiteMinder Webサーバーの構成 EPM SystemでSiteMinderを使用可能にする SiteMinderはWeb専用のソリューションです。デスクトップ・アプリケーションおよびそのアドイン(たとえ ば、Microsoft ExcelやReport Designer)は、SiteMinderからの認証を使用できません。ただし、Oracle Smart View for Officeでは、SiteMinder認証を使用できます。 プロセス・フロー SiteMinder使用可能なSSOの概要を図で示します: SiteMinderのSSOプロセス: 1. ユーザーは、SiteMinderで保護されたEPM Systemリソースへのアクセスを試行します。SiteMinderポリシー・ サーバーをフロントエンドするWebサーバーに接続するURL(http://WebAgent_Web_Server_Name:Web Agent_Web_ServerPort/interop/index.jspなど)を使用します。 セキュリティ・エージェントでのSSOの使用可能 65 2. Webサーバーは、資格証明を要求するポリシー・サーバーにユーザーをリダイレクトします。構成済ユーザー・ディレ クトリに対する資格証明の検証後、ポリシー・サーバーは、SiteMinder WebエージェントのホストとなるWebサー バーに資格証明を渡します。 3. SiteMinder WebエージェントのホストとなるWebサーバーは、EPM SystemをフロントエンドするOracle HTTP Serverに要求をリダイレクトします。Oracle HTTP Serverは、WebLogic ServerまたはIIS Server上 にデプロイされている、要求されたアプリケーションにユーザーをリダイレクトします。 4. EPM Systemコンポーネントは、プロビジョニング情報を確認し、コンテンツを提供します。このプロセスが機能 するには、SiteMinderでユーザーの認証に使用するユーザー・ディレクトリを、EPM Systemの外部ユーザー・ ディレクトリとして構成する必要があります。これらのディレクトリは信頼済として構成する必要があります。 注意事項 SiteMinderはWeb専用のソリューションです。デスクトップ・アプリケーションおよびそのアドイン(たとえ ば、Microsoft ExcelやReport Designer)は、SiteMinderからの認証を使用できません。ただし、Smart Viewで は、SiteMinder認証を使用できます。 前提条件 1. 完全な機能のSiteMinderインストールは、次のコンポーネントで構成されています: • ポリシーおよびエージェント・オブジェクトが定義されたSiteMinderポリシー・サーバー • SiteMinderポリシー・サーバーをフロントエンドするWebサーバーにインストールされたSiteMinder Webエー ジェント 2. 完全な機能のEPM Systemデプロイメント。 EPM SystemコンポーネントにWebサーバーを構成する場合、EPM SystemコンフィグレータはOracle HTTP Serverに次を構成し、要求をアプリケーション・サーバーにプロキシします: • WebLogic Serverに要求をプロキシするmod_wl_ohs.conf • IISに要求をプロキシするmod_proxy SiteMinder Webエージェントの使用可能化 Webエージェントは、EPM Systemリソースに対する要求をインターセプトするWebサーバー上にインストールされま す。認証されていないユーザーが保護されたEPM Systemリソースにアクセスしようとすると、Webエージェントでは ユーザーに対してSSO資格証明を要求します。ユーザーが認証されると、ポリシー・サーバーは認証されたユーザーの ログイン名を追加し、そのログイン名はヘッダーで渡されます。その後、HTTP要求がEPM System Webサーバーに 渡され、要求をリダイレクトします。EPM Systemコンポーネントはヘッダーから認証済ユーザー資格証明を抽出しま す。 SiteMinderは、異種のWebサーバー・プラットフォーム上で実行されているEPM System製品全体のSSOをサ ポートしています。EPM System製品が異なるWebサーバーを使用する場合、SiteMinder Cookieを同じドメ イン内のWebサーバーに確実に渡せるようにする必要があります。各WebサーバーのWebAgent.confファイル のCookiedomainの値として適切なEPM Systemアプリケーション・ドメインを指定して、これを行います。 Netegrity SiteMinderエージェント・ガイドのWebエージェントの構成に関する項を参照してください。 66 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 注: Shared Servicesはそのコンテンツを保護するために基本認証を使用するため、Shared Servicesへの要求をインターセプトするWebサーバーは、SiteMinderを使用したSSOをサポート できるように基本認証を使用可能にする必要があります。 SiteMinder Webエージェント構成ウィザードを実行して、Webエージェントを構成します(これを行うに は、WEBAGENT_HOME/install_config_info/nete-wa-configを実行します。たとえば、Windowsの場合、C: \netegrity\webagent\install_config_info\nete-wa-config.exeになります)。構成プロセスでは、Site Minder WebサーバーのWebAgent.confが作成されます。 SiteMinder Webエージェントを使用可能にするには: 1. 2. テキスト・エディタを使用して、WebAgent.confを開きます。このファイルの場所は、使用しているWebサーバー によって異なります。IIS ServerをSiteMinder Webサーバーとして構成している場合、WebAgent.confの場 所は、WEB_AGENT_HOME/bin/IIS(C:\SiteMinder\webagent\bin\iis\WebAgent.confなど)になりま す。 enableWebAgentプロパティの値をはいに設定します。 enableWebAgent=”YES” 3. Webエージェント構成ファイルを保存して閉じます。 SiteMinderポリシー・サーバーの構成 SiteMinder管理者は、EPM System製品にSSOが使用可能になるようにポリシー・サーバーを構成する必要があ ります。 構成プロセスは次のとおりです: • SiteMinder Webエージェントの作成、およびSiteMinder Webサーバーに適した構成オブジェクトの追加 • 保護する必要がある各EPM Systemリソースのレルムの作成、およびWebエージェントのレルムへの追 加。 61ページの保護するリソースを参照してください • 保護するEPM Systemリソース用に作成されたレルム内で、保護しないリソース用のレルムを作成しま す。 62ページの保護しないリソースを参照してください • HTTPヘッダー参照の作成。ヘッダーは、EPM Systemアプリケーションにログイン属性の値を提供する必要があ ります。ログイン属性の簡単な説明については、『Oracle Enterprise Performance Management Systemユーザー・セ キュリティ管理ガイド』のOID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成に関 する項を参照してください。 • Webエージェント・アクションとして、取得、ポストおよび配置を使用したレルム内のルールの作成 Oracle Hyperion Web Analysisのみ: HEADアクションをルールに追加する必要もあります。 • 値がhyplogin=<%userattr="SM_USERLOGINNAME"%>のレスポンス属性の作成 • ポリシーの作成、ユーザー・ディレクトリ・アクセスの割当て、およびEPM System用に作成したルールの現在のメ ンバー・リストへの追加 • EPM Systemコンポーネント用に作成したルールに対する応答の設定 セキュリティ・エージェントでのSSOの使用可能 67 EPM System Webサーバーに要求を転送するためのSite Minder Webサーバーの構成 SiteMinder WebエージェントのホストとなるWebサーバーを構成して、認証済ユーザー(ユーザーを識別するヘッ ダーを含む)からEPM System Webサーバーに要求を転送します。 ApacheベースのWebサーバー用に、次の記述に類似したディレクティブを使用して、認証済要求を転送します: ProxyPass / http:// EPM_WEB_SERVER : EPM_WEB_SERVER_PORT / ProxyPassReverse / http:// EPM_WEB_SERVER : EPM_WEB_SERVER_PORT / ProxyPreserveHost On #If SiteMinder Web Server is using HTTPS but EPM Web Server is using HTTP RequestHeader set WL-Proxy-SSL true このディレクティブで、EPM_WEB_SERVERおよびEPM_WEB_SERVER_PORTを、各自の環境の実際の値に置き換えま す。 EPM SystemでSiteMinderを使用可能にする SiteMinderとの統合により、EPM System製品のSiteMinder認証を使用可能にする必要がありま す。 82ページのSSO用のEPM Systemの構成を参照してください。 Kerberosシングル・サインオン サブトピック • • • • • 概要 サポート制約事項 前提 WebLogic Serverを使用したKerberos SSO Kerberos認証をサポートするためのWebLogic Serverでの手順 概要 EPM System製品は、EPM System製品をホストするアプリケーション・サーバーがKerberos認証用に設定されて いる場合は、Kerberos SSOをサポートします。 Kerberosは信頼できる認証サービスで、各Kerberosクライアントは他のKerberosクライアント(ユーザー、ネット ワーク・サービスなど)のアイデンティティを有効なものとして信頼します。 68 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 EPM System製品にユーザーがアクセスする場合に行われる処理は、次のとおりです: 1. Windowsコンピュータで、ユーザーは、KerberosレルムでもあるWindowsドメインにログインします。 2. 統合Windows認証を使用するように構成されているブラウザを使用して、ユーザーはアプリケーション・サーバー 上で実行されているEPM System製品にログインします。 3. アプリケーション・サーバー(ネゴシエート・アイデンティティ・アサーション・プロバイダ)は要求をインターセプトし、 ブラウザの認証ヘッダーからKerberos情報とともにSimple and Protected Generic Security Services API (GSSAPI) Negotiation Mechanism (SPNEGO)トークンを取得します。 4. アサーション・プロバイダは、EPM System製品にユーザーに関する情報を渡すために、そのアイデンティティ・ ストアに対してトークンに含まれるユーザーのアイデンティティの妥当性を確認します。EPM System製品は Active Directoryに対してユーザー名を検証します。EPM System製品は、すべてのEPM System製品間で SSOをサポートするSSOトークンを発行します。 サポート制約事項 Kerberos SSOは、すべてのEPM System製品に対してサポートされていますが、次の例外があります: • Kerberos SSOは、Smart View以外のシック・クライアントに対してサポートされていません。 • Smart Viewは、Oracle Essbase、PlanningおよびFinancial Managementプロバイダに対してのみ Kerberos統合をサポートします • IISが埋め込まれたEPM System製品のKerberos SSOサポート(Financial Managementなど)は、EPM Workspaceを介してのみ使用可能です。Oracle Hyperion Financial Data Quality Managementへの SSOアクセスは、Financial Managementを介して提供されます。 前提 このドキュメントにはアプリケーション・レベルのKerberos構成手順が記載されていますが、システム・レベルでの Kerberos構成に関する知識があることを前提としています。これらの手順を開始する前に、次のタスクの前提条件 が満たされていることを確認してください。 このドキュメントでは、Windowsクライアント・マシンがKerberos認証用に構成されている、フル機能のKerberos 対応ネットワーク環境で作業していることを前提としています。 • 企業のActive DirectoryがKerberos認証用に構成されています。Microsoft Windows Serverのドキュメン トを参照してください。 • EPM System製品へのアクセスに使用されるブラウザは、Kerberosチケットを使用してネゴシエートするように 構成されています。 ○Firefox: https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/5/ html/Deployment_Guide/sso-config-firefox.html ○Internet Explorer: http://docs.oracle.com/cd/E12839_01/web.1111/e13707/ sso.htm#i1102444 • KDCとクライアント・マシン間で、時間同期の誤差は5分以内です。http://technet.microsoft.com/en-us/ library/cc780011(WS.10).aspxの「Authentication Errors are Caused by Unsynchronized Clocks」 を参照してください。 セキュリティ・エージェントでのSSOの使用可能 69 • Financial Managementがデプロイされている場合、Internet Information System (IIS)での統合 Windows認証は有効になります。 IISがEPM System製品のWebサーバーとしてのみ使用される場合、IISでの統合Windows認証は無効になり ます。 WebLogic Serverを使用したKerberos SSO WebLogic Server Kerberos SSOは、Microsoftクライアントを使用したSSOが使用可能になるよう に、SPNEGOトークンをネゴシエートおよびデコードするためネゴシエート・アイデンティティ・アサーション・プロバイダ を使用します。WebLogic ServerはKerberosチケットを取得するためにSPNEGOトークンをデコードし、そのチケッ トを検証してWebLogic Serverユーザーにマップします。WebLogic ServerのActive Directory認証プロバイダ は、WebLogic Serverユーザーのユーザー・ディレクトリとしてActive Directoryを構成するためにネゴシエート・ア イデンティティ・アサーション・プロバイダとともに使用できます。 ブラウザがEPM System製品へのアクセスを要求する場合、KDCはそのブラウザにKerberosチケットを発行し、そ れによって、サポートされるGSSトークン・タイプを含むSPNEGOトークンが作成されます。ネゴシエート・アイデンティ ティ・アサーション・プロバイダはSPNEGOトークンをデコードし、GSSAPIを使用して、セキュリティ・コンテキストを受 け入れます。要求を開始したユーザーのアイデンティティはユーザー名にマップされ、WebLogic Serverに渡されま す。また、WebLogic Serveは、ユーザーが属するグループを決定します。この段階で、要求されたEPM System製 品はユーザーに使用できるようになります。 注: ユーザーはSPNEGOをサポートするブラウザ(たとえば、Internet ExplorerやFirefoxなど)を 使用して、WebLogic Serverで実行しているEPM System製品にアクセスする必要がありま す。WebLogic ServerはUNIXまたはWindowsプラットフォームで実行できます。 認証プロセスから取得されたユーザーIDを使用して、EPM System製品認証プロセスはプロビジョニング・データを チェックします。EPM System製品へのアクセスは、プロビジョニング・データに基づいて制限されます。 『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のMicrosoftクライアントでのシングル・サイ ンオンの構成に関する項を参照してください。 Kerberos認証をサポートするためのWebLogic Serverで の手順 Kerberos認証をサポートするには、管理者は次のタスクを完了する必要があります: • EPM SystemのWebLogicドメインを作成します。 71ページのEPM SystemのWebLogicドメインの作成を 参照してください。 • 認証プロバイダを作成します。 71ページのWebLogic ServerでのLDAP認証プロバイダの作成を参照して ください。 • ネゴシエート・アイデンティティ・アサーション・プロバイダを作成します。 71ページのネゴシエート・アイデンティ ティ・アサーション・プロバイダの作成を参照してください。 70 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 • Kerberos識別を作成します。 72ページのWebLogic Server用のKerberos識別の作成を参照してくださ い。 • Kerberos用のJVMオプションを更新します。 73ページのKerberos用のJVMオプションの更新を参照して ください。 • 認可ポリシーを構成します。 74ページの認可ポリシーの構成を参照してください。 • SSODiagをデプロイして使用し、WebLogic ServerがEPM Systemに対してKerberos SSOをサポートする準 備が整っているかを確認します。 74ページのSSODiagを使用したKerberos環境のテストを参照してくださ い。 EPM SystemのWebLogicドメインの作成 通常、EPM Systemコンポーネントは、EPMSystem WebLogicドメイン(デフォルトの場所はMIDDLEWARE_HOME/ user_projects/domains/EPMSystem)にデプロイされます。 Kerberos認証用にEPM System WebLogicドメインを構成するには: 1. 2. 3. EPM Systemコンポーネントをインストールします。 Foundation Servicesのみをデプロイします。 Foundation Servicesのデプロイメントにより、デフォルトのEPM System WebLogicドメインが作成されま す。 Shared Services ConsoleにログインしてFoundation Servicesのデプロイメントが成功したことを確認しま す。 17ページのShared Services Consoleの起動を参照してください。 WebLogic ServerでのLDAP認証プロバイダの作成 WebLogic Server管理者は、LDAP認証プロバイダを作成して、ユーザー情報およびグループ情報を外部LDAP サーバーに格納します。LDAP v2-またはv3-に準拠したLDAPサーバーは、WebLogic Serverと連携して機能しま す。次のリファレンスを参照してください: • 『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のLDAP認証プロバイダの構成に関する項。 • Oracle Fusion Middleware Oracle WebLogic Server Administration Consoleオンライン・ヘルプの認証およびア イデンティティ・アサーション・プロバイダの構成に関する項。 ネゴシエート・アイデンティティ・アサーション・プロバイダの作成 ネゴシエート・アイデンティティ・アサーション・プロバイダは、MicrosoftクライアントによるSSOの使用を可能にしま す。SPNEGOトークンをデコードしてKerberosトークンを取得し、Kerberosトークンを検証してトークンをWebLogic ユーザーにマップします。ネゴシエート・アイデンティティ・アサーション・プロバイダは、WebLogic Securityフレーム ワークで定義されているようにSecurity Service Provider Interface (SSPI)の実装で、クライアントのSPNEGO トークンに基づいたクライアントの認証に必要なロジックを提供します。 • 『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のネゴシエートIDアサーション・プロバイダの構成 に関する項 セキュリティ・エージェントでのSSOの使用可能 71 • Oracle Fusion Middleware Oracle WebLogic Server Administration Consoleオンライン・ヘルプの認証およびア イデンティティ・アサーション・プロバイダの構成に関する項。 ネゴシエート・アイデンティティ・アサーション・プロバイダの作成時、すべての認証プロバイダに対してJAAS制御フ ラグ・オプションをOPTIONALに設定します。Oracle Fusion Middleware Oracle WebLogic Server管理コン ソール・オンライン・ヘルプのJAAS制御フラグの設定に関する項を参照してください。 WebLogic Server用のKerberos識別の作成 Active Directoryドメイン・コントローラ・マシンで、WebLogic ServerおよびEPM System Webサーバーを表す ユーザー・オブジェクトを作成し、KerberosレルムのWebLogic ServerおよびWebサーバーを表すサービス・プリン シパル名(SPN)にマップします。クライアントでは、SPNがないサービスを検索できません。SPNは、ログイン・プロセ スで使用するWebLogic Serverドメインにコピーするkeytabファイルに格納します。 手順の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のWebLogic Server用の Kerberos識別の作成に関する項を参照してください。 WebLogic Server用のKerberos識別を作成するには: 1. Active Directoryドメイン・コントローラ・マシンで、WebLogic ServerドメインおよびEPM Systemコンポーネ ントで使用されるIISをホストするコンピュータについて、ユーザー・アカウント(epmHostなど)を作成します。 注: マシンではなく、ユーザー・オブジェクトとして識別を作成します。 コンピュータの簡易名を使用します。たとえば、ホスト名がepmHost.example.comの場合、epm Hostを使用します。 ユーザー・オブジェクトの作成時に使用したパスワードを書き留めます。これは、SPNの作成に必要 です。 パスワード・オプション、特に「ユーザーは次回ログオン時にパスワードの変更が必要」オプションを選択 しないでください。 2. Kerberosプロトコルに準拠するようにユーザー・オブジェクトを変更します。アカウントは、Kerberos事前認証 を必要とします。 • 「Account」タブで、使用する暗号化を選択します。 • 他のアカウント・オプション(特に「Kerberos事前認証を必要としない」)が選択されていないことを確認しま す。 • 暗号化タイプを設定すると、オブジェクトのパスワードが破損する可能性があるため、パスワードをオブジェク トの作成時に設定したパスワードにリセットします。 3. 4. Active Directoryドメイン・コントローラをホストするコンピュータで、コマンド・プロンプト・ウィンドウを開 き、Active Directoryサポート・ツールがインストールされているディレクトリに移動します。 必要なSPNを作成して構成します。 a. 72 次のようなコマンドを使用して、 72ページのステップ 1で作成したユーザー・オブジェクト(epmHost)に SPNが関連付けられていることを確認します。 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 setspn -L epmHost b. 次のようなコマンドを使用して、Active Directoryドメイン・サービス(AD DS)でWebLogic Serverの SPNを構成し、共有秘密鍵を含むkeytabファイルを生成します。 ktpass -princ HTTP/ epmHost.example.com @ EXAMPLE.COM -pass password -mapuser epmHost -out c:\epmHost.keytab 5. WebLogic Serverをホストするコンピュータでkeytabファイルを作成します。 a. b. c. コマンド・プロンプトを開きます。 MIDDLEWARE_HOME/jdk160_29/binに移動します。 次のようなコマンドを実行します: ktab -k keytab_filename -a [email protected] d. 6. 7. パスワードの入力を求められたら、 72ページのステップ 1でユーザーの作成時に設定したパスワードを 入力します。 WebLogicドメイン内の起動ディレクトリ(C:\Oracle\Middleware\user_projects\domains \EPMSystemなど)にkeytabファイルをコピーします。 Kerberos認証が正しく機能していることを確認します。 kinit -k -t keytab-file account-name このコマンドで、account-nameはKerberosプリンシパルを示します。例: HTTP/epmHost.example. [email protected]。このコマンドからの出力は次のようになります: New ticket is stored in cache file C:\Documents and Settings\Username \krb5cc_MachineB Kerberos用のJVMオプションの更新 Oracle Fusion Middleware Oracle WebLogic Server 11gリリース1 (10.3.1)の保護のWebLogic Serverでの Kerberos認証における起動引数の使用に関する項およびJAASログイン・ファイルの作成に関する項を参照してく ださい。 EPM System管理対象サーバーがWindowsのサービスとして稼働している場合、Windowsレジストリを更新し て、JVM起動オプションを設定します。 WindowsレジストリでJVM起動オプションを更新するには: セキュリティ・エージェントでのSSOの使用可能 73 1. 2. Windowsレジストリ・エディタを開きます。 「マイ コンピュータ」、「HKEY_LOCAL_MACHINE」、「Software」、「Hyperion Solutions」、「EPMServer0」、「HyS9EPMServer_epmsystem1」の順に選択します。 次の文字列値を作成します: 3. 注: 74ページの表 6に示されている名前は例です。 表6 Kerberos認証用のJVM起動オプション 名前 タイプ データ JVMOption44 REG_SZ -Djava.security.krb5.realm=Active Directory Realm Name JVMOption45 REG_SZ -Djava.security.krb5.kdc=Active Directory host name or IP address JVMOption46 REG_SZ -Djava.security.auth.login.config=location of Kerberos login configuration file JVMOption47 4. REG_SZ -Djavax.security.auth.useSubjectCredsOnly=false 追加したJVMOptionを反映するようにJVMOptionCount DWordの値を更新します(現在の10進数値に4 を加えます)。 認可ポリシーの構成 EPM SystemにアクセスするActive Directoryユーザー用の認可ポリシーの構成の詳細は、Oracle Fusion Middleware Oracle WebLogic Serverロールおよびポリシーによるリソースの保護のWebアプリケーションとEJBリソースの 保護オプションに関する項を参照してください。 ポリシーの構成手順の例については、 76ページのSSODiag用のポリシーの作成を参照してください。 SSODiagを使用したKerberos環境のテスト サブトピック • • • • SSODiagのデプロイ SSODiag用のOracle HTTP Serverの構成 SSODiag用のポリシーの作成 SSODiagを使用したKerberos認証用のWebLogic Server構成のテスト SSODiagは、Kerberos環境でWebLogic ServerがEPM Systemをサポートする準備が整っているかをテストす る診断Webアプリケーションです。 SSODiagのデプロイ Foundation Servicesのデプロイ時に指定したWebLogic Server管理者の資格証明(デフォルトのユーザー名 はepm_admin)を使用して、SSODiagをデプロイします。 74 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 SSODiagをデプロイして構成するには: 1. 2. 3. 4. 5. 6. EPM Systemドメインに対するWebLogic Server管理コンソールにログオンします。 チェンジ・センターで、「ロックして編集」をクリックします。 「ドメイン構造」の「EPMSystem」から、「デプロイメント」をクリックします。 デプロイメントの要約で、「インストール」をクリックします。 「パス」で、EPM_ORACLE_HOME/products/Foundation/AppServer/InstallableApps/common/ SSODiag.warを選択します。 「次へ」をクリックします。 8. 「デプロイ・ターゲットの選択」で、次を選択し、「次へ」をクリックします。 7. ターゲット指定スタイルの選択で、このデプロイメントをアプリケーションとしてインストールするが選択されてい ることを確認し、「次へ」をクリックします。 • EPMServer • クラスタのすべてのサーバー 9. 「オプション設定」で、「カスタム・ロールおよびポリシー: 管理コンソール内に定義されたロールとポリシーのみを 使用します。」をセキュリティ・モデルとして選択します。 セキュリティ・エージェントでのSSOの使用可能 75 10. 11. 12. 13. 「次へ」をクリックします。 確認画面で、「いいえ、後で構成を確認します。」を選択します。 「終了」をクリックします。 チェンジ・センターで、「変更のアクティブ化」を選択します。 SSODiag用のOracle HTTP Serverの構成 mod_wl_ohs.confを更新して、SSODiag URL要求をWebLogic Serverに転送するようOracle HTTP Server を構成します。 Oracle HTTP ServerでURL転送を構成するには: 1. 2. テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/ mod_wl_ohs.confを開きます。 SSODiagのLocationMatch定義を追加します: <LocationMatch /SSODiag/> SetHandler weblogic-handler WeblogicCluster myServer:28080 </LocationMatch> 3. 4. 前述の例で、myServerはFoundation Servicesホスト・マシンを表し、28080はShared Servicesが要求をリ スニングするポートを表します。 mod_wl_ohs.confを保存して閉じます。 Oracle HTTP Serverを再起動します。 SSODiag用のポリシーの作成 WebLogic Server管理コンソールでポリシーを作成し、次のSSODiag URLを保護します。 76 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 http:// OHS_HOST_NAME : PORT /SSODiag/krbssodiag この例では、OHS_HOST_NAMEはOracle HTTP Serverをホストするサーバーの名前を表し、PORTはOracle HTTP Serverが要求をリスニングするポートを表します。 SSODiagを保護するポリシーを作成するには: 1. 2. 3. WebLogic Server管理コンソールのチェンジ・センターで、EPM Systemに対して「ロックして編集」を選択し ます。 「デプロイメント」、「SSODiag」、「ロール」、「ポリシー」の順に選択します。 次のURLパターンを作成します: • / • /index.jsp 4. 作成した各URLパターンを変更します: a. 5. 「スタンドアロンWebアプリケーションのURLパターン」のURLパターンのリストから、作成したパターン(/)を クリックして開きます。 b. 「条件の追加」を選択します。 c. 「述部リスト」から「ユーザー」を選択します。 d. 「次へ」を選択します。 e. ユーザー引数名で、アカウントがKerberos認証用に構成されているクライアント・デスクトップへのアクセ スに使用されるActive Directoryユーザー(krbuser1など)を入力し、「追加」を選択します。krbuser1は Active DirectoryまたはWindowsデスクトップ・ユーザーです。 f. 「終了」を選択します。 「保存」を選択します。 SSODiagを使用したKerberos認証用のWebLogic Server構成のテスト Kerberos認証用のWebLogic Server構成が正しく機能する場合、Oracle Hyperion Kerberos SSO診断ユーティリ ティV 1.0に次のメッセージが表示されます: Retrieving Kerberos User principal name... Success. Kerberos principal name retrieved... SOME_USER_NAME 注意 SSODiagがKerberosプリンシパル名を取得できない場合、Kerberos認証用にEPM Systemコ ンポーネントを構成しないでください。 Kerberos認証用のWebLogic Server構成をテストするには: 1. Foundation ServicesとOracle HTTP Serverを起動します。 セキュリティ・エージェントでのSSOの使用可能 77 2. 3. 4. WebLogic Server管理コンソールを使用して、すべての要求を処理するSSODiag Webアプリケーションを起 動します。 有効なActive Directory資格証明を使用して、Kerberos認証用に構成されているクライアント・マシンにログ オンします。 ブラウザを使用して、次のSSODiag URLに接続します: http:// OHS_HOST_NAME : PORT /SSODiag/krbssodiag この例では、OHS_HOST_NAMEはOracle HTTP Serverをホストするサーバーの名前を表し、PORTはOracle HTTP Serverが要求をリスニングするポートを表します。 Kerberos認証が適切に機能する場合、SSODiagは次の情報を表示します: Retrieving Kerberos User principal name... Success. Kerberos principal name retrieved... SOME_USER_NAME Kerberos認証が適切に機能しない場合、SSODiagは次の情報を表示します: Retrieving Kerberos User principal name... failed. EPM Systemコンポーネントの構成 EPM Systemコンフィグレータを使用して、Foundation ServicesがデプロイされているWebLogicドメインに他の EPM Systemコンポーネントを構成およびデプロイします。 Kerberos認証用のEPM System管理対象サーバーの構成 Microsoft Windows環境では、EPM System管理対象サーバーはWindowsサービスとして実行されます。Web Logic管理対象サーバーごとにJVM起動オプションを変更する必要があります。非コンパクト・デプロイメント・モード の管理対象サーバーの包括的なリストは次のとおりです: • AnalyticProviderServices0 • CalcMgr0 • DisclosureManagement0 • EpmaDataSync0 • EpmaWebReports0 • ErpIntegrator0 • EssbaseAdminServer0 78 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 • FinancialReporting0 • FMWebServices0 • FoundationServices0 • HpsAlerter0 • HpsWebReports0 • hsfweb0 • Planning0 • Profitability0 • RaFramework0 • WebAnalysis0 EPM SystemのWebアプリケーションがコンパクト・デプロイメント・モードでデプロイメントされている場合 は、EPMSystem0管理対象サーバーのJVM起動オプションのみを更新する必要があります。複数のコンパクト管理 対象サーバーがある場合、すべての管理対象サーバーについてJVM起動オプションを更新する必要があります。 『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のWebLogic ServerでのKerberos認証における 起動引数の使用に関する項を参照してください。 注: 次の手順は、FoundationServices管理対象サーバーのJVM起動オプションを設定する方法を 示しています。このタスクは、デプロイメント内のWebLogic管理対象サーバーごとに実行する必 要があります。 WebLogic Server起動スクリプトでJVMオプションを構成する詳細な手順について は、 73ページのKerberos用のJVMオプションの更新を参照してください。 認可ポリシーの構成 Foundation Services以外のEPM SystemコンポーネントにアクセスするActive Directoryユーザー用 の認可ポリシーを構成します。WebLogic管理コンソールからのセキュリティ・ポリシーの構成に関する詳細 は、 74ページの認可ポリシーの構成を参照してください。 EPM Systemコンポーネントのデフォルトのセキュリティ・モデルの変 更 EPM System構成ファイルを編集して、デフォルトのセキュリティ・モデルを変更します。非コンパクトEPM System デプロイメントの場合、config.xmlに記載されている各EPM System Webアプリケーションのデフォルトのセキュ リティ・モデルを変更する必要があります。EPM System Webアプリケーションのリストは次のとおりです: • AIF • APS • CALC セキュリティ・エージェントでのSSOの使用可能 79 • DISCLOSUREMANAGEMENT • EAS • EPMADATASYNCHRONIZER • EPMAWEBTIER • FINANCIALREPORTING • HPSAlerter • HPSWebReports • HSFWEB • PLANNING • PROFITABILITY • RAFRAMEWORK • SHAREDSERVICES • WEBANALYSIS • WORKSPACE セキュリティ・モデルを変更するには: 1. 2. テキスト・エディタを使用して、MIDDLEWARE_HOME/user_projects/domains/EPMSystem/config/ config.xmlを開きます。 各EPM Systemコンポーネントのapp-deployment定義で、次の例に示すように、<security-dd-model>の 値をCustomRolesAndPoliciesに設定します: <app-deployment> <name>SHAREDSERVICES#11.1.2.0</name> <target>EPMServer</target> <module-type>ear</module-type> <source-path>C:\Oracle\Middleware\EPMSystem11R1/products/Foundation/AppServer/ InstallableApps/common/interop.ear</source-path> <security-dd-model>CustomRolesAndPolicies</security-dd-model> <staging-mode>nostage</staging-mode> </app-deployment> 3. 4. config.xmlを保存して閉じます。 WebLogic Serverを再起動します。 EPM SystemコンポーネントのURL保護ポリシーの作成 各EPM SystemコンポーネントのURLを保護するには、WebLogic Server管理コンソールでURL保護ポリシー を作成します。詳細は、『Oracle Fusion Middleware Oracle WebLogic Server ロールおよびポリシーによるリソースの保 護』の「WebアプリケーションおよびEJBリソースの保護のオプション」を参照してください。 URL保護ポリシーを作成するには: 1. 2. 3. 80 EPM Systemドメインに対するWebLogic Server管理コンソールのチェンジ・センターで、「ロックして編集」を クリックします。 「デプロイメント」をクリックします。 デプロイメント内のEPM Systemエンタープライズ・アプリケーション(PLANNINGなど)を展開し、その Webアプリケーション(HyperionPlanningなど)をクリックします。EPM Systemコンポーネントのリスト EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 は、 79ページのEPM Systemコンポーネントのデフォルトのセキュリティ・モデルの変更を参照してくださ い。 注: 一部のエンタープライズ・アプリケーション(Oracle Essbase Administration Servicesなど) は、URLパターンの定義が必要な複数のWebアプリケーションから構成されます。 4. WebアプリケーションのURLパターン・スコープのポリシーを作成します。 a. b. c. d. e. f. g. 「セキュリティ」、「ポリシー」、「新規」の順にクリックします。 「URLパターン」に、/*を入力します。 「OK」をクリックします。 作成したURLパターン(/*)をクリックします。 「条件の追加」をクリックします。 述部リストで、ポリシー条件を選択して「次へ」をクリックします。 指定したグループのすべてのメンバーにこのセキュリティ・ポリシーを付与する「グループ」条件を使用する ことをお薦めします。 選択した述部に関連する引数を指定します。たとえば、前の手順で「グループ」を選択した場合、次の手順 を実行する必要があります: i. h. 「グループ引数名」に、Webアプリケーションへのアクセスを許可するユーザーを含むグループの名前 を入力します。入力する名前は、Active Directoryグループ名と完全一致する必要があります。 ii. 「追加」をクリックします。 iii. さらにグループを追加するには、前述の手順を繰り返します。 「終了」をクリックします。 Active Directoryでグループが見つからない場合は、WebLogic Serverにエラー・メッセージが表示され ます。続行する前に、このエラーを解決する必要があります。 5. 6. 7. i. 「保存」を選択します。 デプロイメント内の他のEPM Systemコンポーネントについて、 80ページのステップ 3およ び 81ページのステップ 4を繰り返します。 チェンジ・センターで、「構成の解放」をクリックします。 WebLogic Serverを再起動します。 EPM Systemセキュリティ構成の更新 SSOを順守するようにEPM Systemセキュリティを構成します。 82ページのSSO用のEPM Systemの構成を 参照してください。 Kerberos用のIISサーバーの構成 アプリケーション・サーバーとしてIISを使用するEPM Systemコンポーネント(Financial Managementなど)を使用 している場合は、この項を実行します。 Kerberos用にEPM System IISサーバーを構成するには: 1. IISマネージャを起動します。 セキュリティ・エージェントでのSSOの使用可能 81 2. 3. 4. 5. 6. 7. 8. 「Webサイト」、「既定のWebサイト」の順に展開します。 EPM SystemコンポーネントのWebサイト(Financial Managementのhfmなど)を右クリックし、「プロパ ティ」を選択します。 「ディレクトリ セキュリティ」タブで、「認証とアクセス制御」の「編集」をクリックします。 「認証方法」で、「統合Windows認証」を選択します。 「アプリケーション プール」を展開します。 前述の手順で認証およびアクセス制御方法を変更したEPM Systemコンポーネントのアプリケーション・プール を右クリックし、「プロパティ」をクリックします。たとえば、hfm Webサイトの認証およびアクセス制御方法を変更 した場合、hfmAppPoolを右クリックして「プロパティ」を選択します。 「アプリケーション プール ddentity」の「識別」タブで、次の手順を実行します。 a. 「ユーザー名」に、作成したサービス・プリンシパルを入力します( 72ページのWebLogic Server用の Kerberos識別の作成を参照)。 b. 「パスワード」に、サービス・プリンシパルのパスワードを入力します。 c. 「OK」をクリックします。 9. 82ページのステップ 3から 82ページのステップ 8を繰り返し、残りのWebサイトおよびアプリケーショ ン・プールについてKerberos認証を構成します。 10. IISを再起動します。 SSO用のEPM Systemの構成 EPM System製品は、SSO用にセキュリティ・エージェントをサポートするために構成する必要があります。Shared Servicesで指定した構成により、すべてのEPM System製品に次のことが決定されます。 • セキュリティ・エージェントからSSOを受け入れるかどうか • SSOを受け入れる認証メカニズム SSOを使用可能な環境において、ユーザーが最初にアクセスするEPM System製品では、SSOメカニズムが分析さ れ、ここに含まれている認証済ユーザーIDが取得されます。EPM System製品では、Shared Servicesで構成され たユーザー・ディレクトリに対してユーザーIDがチェックされ、ユーザーが有効なEPM Systemユーザーであることが決 定されます。また、EPM System製品全体でSSOを使用可能にするトークンも発行されます。 Shared Servicesで指定される構成により、SSOが使用可能になり、すべてのEPM System製品に対してSSOを 受け入れる認証メカニズムが決定されます。 Webアイデンティティ管理ソリューションからSSOを使用可能にするには: 1. 2. 3. Shared Services ConsoleをShared Services管理者として起動します。 17ページのShared Services Consoleの起動を参照してください。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 Webアイデンティティ管理ソリューションにより使用されるユーザー・ディレクトリがShared Servicesで外部の ユーザー・ディレクトリとして構成されることを確認します。 たとえば、Kerberos SSOを使用可能にする場合、Kerberos認証用に構成されているActive Directoryを外 部ユーザー・ディレクトリとして構成する必要があります。 4. 5. 6. 82 85ページの第4章「ユーザー・ディレクトリの構成」を参照してください。 「セキュリティ・オプション」を選択します。 「詳細オプションの表示」を選択します。 「定義済ユーザー・ディレクトリ」画面の「シングル・サインオン構成」で、次の手順を実行します: EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 a. b. 「SSOの使用可能」を選択します。 「SSOプロバイダ/エージェント」から、Webアイデンティティ管理ソリューションを選択します。Kerberosで SSOを構成している場合、「その他」を選択します。 推奨されるSSOメカニズムが自動的に選択されます。 83ページの表 7を参照してくださ い。 51ページのサポートされているSSOメソッドを参照してください。 注: 推奨されるSSOメカニズムを使用していない場合、「SSOプロバイダ/エージェント」で「その他」を 選択する必要があります。たとえば、SiteMinderのHTTPヘッダー以外のメカニズムを使用する には、「SSOプロバイダ/エージェント」の「その他」を選択してから、「SSOメカニズム」で使用する SSOメカニズムを選択します。 表7 Webアイデンティティ管理ソリューションに適したSSOメカニズム Webアイデンティティ管理ソリューション 推奨SSOメカニズム Oracle Access Manager カスタムHTTPヘッダー OSSO カスタムHTTPヘッダー SiteMinder カスタムHTTPヘッダー Kerberos HTTP要求からリモート・ユーザーを取得 1 1 デフォルトのHTTPヘッダー名は、HYPLOGINです。カスタムHTTPヘッダーを使用中の場合、名前を置き換えます。 7. 「OK」をクリックします。 Smart Viewに対するシングル・サインオンのオプション Smart Viewはシック・クライアントであり、ブラウザではありませんが、HTTPを使用してサーバー・コンポーネントに 接続し、システム的にはブラウザのように動作します。Smart Viewでは、ブラウザ・インタフェースでサポートされる すべての標準的なWebベースの統合方法がサポートされます。ただし、一部の制限があります: • SSOメカニズムは、共有コンポーネントに対してのみサポートされます。主に下位互換として使用されるプライベー ト接続では、SSOメカニズムはサポートされません。 • Smart Viewが、EPM Systemコンポーネントに接続されている既存のブラウザ・セッションから起動される場合、 既存のセッションからのcookieが共有されないため、ユーザーはSmart Viewに再度サイン・インする必要があり ます。 • デフォルトのOracle Access Managerログイン・フォームではなくカスタムhtmlベースのログイン・フォームを使 用している場合、カスタム・フォームのソースに文字列loginformが含まれていることを確認してください。これ は、Smart ViewがOracle Access Managerと統合して動作できるようにするために必要です。 セキュリティ・エージェントでのSSOの使用可能 83 84 4 ユーザー・ディレクトリの構成 この項の内容: EPM Systemセキュリティのユーザー・ディレクトリ ......................................................................... 85 ユーザー・ディレクトリ構成に関連する操作 .................................................................................... 86 Oracle Identity ManagerとEPM System ............................................................................... 86 Active Directoryの情報 ......................................................................................................... 87 OID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成 ........................... 87 リレーショナル・データベースをユーザー・ディレクトリとして構成する .................................................. 100 ユーザー・ディレクトリの接続のテスト .......................................................................................... 103 ユーザー・ディレクトリ設定の編集 .............................................................................................. 103 ユーザー・ディレクトリ構成の削除 .............................................................................................. 104 ユーザー・ディレクトリの検索順の管理 ........................................................................................ 105 セキュリティ・オプションの設定 ................................................................................................. 106 暗号化鍵の再生成 ................................................................................................................. 109 特殊文字の使用方法 ............................................................................................................. 110 EPM Systemセキュリティのユーザー・ディレクトリ EPM System製品は、ユーザー・ディレクトリと総称される多くのユーザーおよびアイデンティティ管理システ ムでサポートされています。その中には、Sun Java System Directory Server (旧SunONE Directory Server)、Active Directoryなど、Lightweight Directory Access Protocol (LDAP)対応のユーザー・ディレクト リが含まれています。また、EPM Systemは、外部ユーザー・ディレクトリとしてリレーショナル・データベースもサポート します。 通常、EPM System製品では、プロビジョニングにネイティブ・ディレクトリおよび外部ユーザー・ディレクトリが使用 されます。サポートされているユーザー・ディレクトリのリストは、Oracle Enterprise Performance Management Systemの動作保証マトリックスを参照してください。 EPM System製品では、製品にアクセスする各ユーザーにユーザー・ディレクトリ・アカウントが必要です。これら のユーザーは、プロビジョニングを円滑にするようグループに割り当てることができます。ユーザーおよびグループに は、EPM Systemの役割とオブジェクトACLをプロビジョニングすることができます。管理のオーバーヘッドのため、 個別ユーザーのプロビジョニングはお薦めしません。すべての構成済ユーザー・ディレクトリからのユーザーおよびグ ループは、Shared Services Consoleに表示されます。 デフォルトで、EPM Systemコンフィグレータにより、EPM System製品をサポートするShared Servicesリポジトリ がネイティブ・ディレクトリとして構成されます。ディレクトリ・マネージャはShared Services Consoleを使用して、ネ イティブ・ディレクトリにアクセスして管理します。 ユーザー・ディレクトリの構成 85 ユーザー・ディレクトリ構成に関連する操作 SSOと承認をサポートするには、システム管理者が外部ユーザー・ディレクトリを構成する必要があります。Shared Services Consoleから、システム管理者はユーザー・ディレクトリの構成と管理に関連する複数のタスクを実行でき ます。これらのトピックは、次の手順に示されています。 • ユーザー・ディレクトリの構成: ○ 87ページのOID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成 ○ 100ページのリレーショナル・データベースをユーザー・ディレクトリとして構成する • 103ページのユーザー・ディレクトリの接続のテスト • 103ページのユーザー・ディレクトリ設定の編集 • 104ページのユーザー・ディレクトリ構成の削除 • 105ページのユーザー・ディレクトリの検索順の管理 • 106ページのセキュリティ・オプションの設定 Oracle Identity ManagerとEPM System Oracle Identity Managerは、エンタープライズ・リソース全体でユーザー・アカウントと属性レベルの権限の両方を 追加、更新および削除するプロセスを自動化する、役割およびユーザーの管理ソリューションです。Oracle Identity Managerは、スタンドアロン製品として、あるいはOracle Identity and Access Management Suite Plusの一 部として使用できます。 EPM Systemは、LDAPグループであるエンタープライズ・ロールの使用によってOracle Identity Managerと統 合されます。EPM Systemコンポーネントの役割は、エンタープライズ・ロールに割り当てることができます。Oracle Identity Managerエンタープライズ・ロールに追加されたユーザーまたはグループは、割り当てられているEPM Systemの役割を自動的に継承します。 たとえば、Budget Planningという名前のPlanningアプリケーションがあるとします。このアプリケーションをサ ポートするには、Budget Planningインタラクティブ・ユーザー、Budget Planningエンド・ユーザー、Budget Planning管理者の3つの役割をOracle Identity Managerで作成します。EPM Systemの役割をプロビジョ ニングする際、プロビジョニング・マネージャはOracle Identity Managerのエンタープライズ・ロールを、Budget Planningと、Shared Servicesなどのその他のEPM Systemコンポーネントの必須役割に必ずプロビジョニン グします。Oracle Identity Mangerのエンタープライズ・ロールに割り当てられているユーザーとグループはすべ て、EPM Systemの役割を継承します。Oracle Identity Managerのデプロイと管理の詳細は、Oracle Identity Managerのドキュメントを参照してください。 Oracle Identity ManagerとEPM Systemを統合するには、管理者は次の手順を実行する必要があります。 • EPM Systemプロビジョニングに使用する予定のOracle Identity Managerエンタープライズ・ロールのメン バー(ユーザーとグループ)がLDAP対応のユーザー・ディレクトリ(OID、Active Directoryなど)で定義されている ことを確認します。 • EPM Systemで、エンタープライズ・ロールのメンバーが定義されているLDAP対応のユーザー・ディレクトリを外部 ユーザー・ディレクトリとして構成します。 87ページのOID、Active Directoryおよびその他のLDAPベースの ユーザー・ディレクトリの構成を参照してください。 86 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 Active Directoryの情報 この項では、このドキュメントで使用されるMicrosoft Active Directoryの概念について説明します。 DNS検索とホスト名検索 システム管理者はShared Servicesが静的ホスト名検索またはDNS検索を行ってActive Directoryを識別でき るようにActive Directoryを構成できます。静的ホスト名検索はActive Directoryフェイルオーバーをサポートしま せん。 DNS検索を使用すると、Active Directoryが確実に高可用性を実現するように複数のドメイン・コントローラ上で構 成されるシナリオでは、Active Directoryの高可用性が確実に実現されます。DNS検索を実行するように構成さ れている場合、Shared Servicesは登録されているドメイン・コントローラを識別する問合せをDNSサーバーに対し て行い、最大の重みのドメイン・コントローラに接続します。Shared Servicesが接続されるドメイン・コントローラで障 害が発生すると、Shared Servicesは次に使用可能な最大の重みのドメイン・コントローラに動的に切り替えます。 注: DNS検索は、フェイルオーバーをサポートする冗長Active Directory設定が使用可能な場合の み構成できます。詳細は、Microsoftのドキュメントを参照してください。 グローバル・カタログ グローバル・カタログは、フォレスト内のすべてのActive Directoryオブジェクトのコピーを保管するドメイン・コント ローラです。そのホスト・ドメインのディレクトリ内のその他すべてのドメインのすべてのオブジェクトの完全なコピーお よびフォレスト内のその他すべてのドメインのすべてのオブジェクトの部分コピーを保管し、これらは通常のユーザー 検索操作で使用されます。グローバル・カタログの設定については、Microsoftのドキュメントを参照してください。 組織でグローバル・カタログを使用する場合、次のメソッドのいずれかを使用して、Active Directoryを構成します。 • 外部ユーザー・ディレクトリとしてグローバル・カタログ・サーバーを構成する(推奨)。 • 個別の外部ユーザー・ディレクトリとして各Active Directoryドメインを構成する。 個々のActive Directoryドメインではなく、グローバル・カタログを構成することにより、EPM System製品がフォレ スト内のローカルおよびユニバーサル・グループにアクセスできます。 OID、Active Directoryおよびその他のLDAPベースのユー ザー・ディレクトリの構成 この項で示す手順を使用して、システム管理者は、OID、Sun Java System Directory Server、Oracle Virtual Directory、Active Directory、IBM Tivoli Directory ServerなどのLDAPベースの企業ユーザー・ディレクトリを 構成するか、あるいは構成画面に示されないLDAPベースのユーザー・ディレクトリを構成します。 ユーザー・ディレクトリの構成 87 OID、Active Directoryおよび他のLDAPベースのユーザー・ディレクトリを構成するには: 1. 2. システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services Consoleの起動を参照してください。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 「プロバイダ構成」タブが開きます。この画面には、ネイティブ・ディレクトリを含むすでに構成済のすべてのユー ザー・ディレクトリが一覧表示されます。 3. 4. 「新規」をクリックします。 「ディレクトリ・タイプ」で、次のいずれかのオプションを選択します: • Lightweight Directory Access Protocol(LDAP): Active Directory以外のLDAP対応ユーザー・ディレ クトリを構成します。Oracle Virtual Directoryを構成するには、このオプションを選択します。 • Microsoft Active Directory (MSAD): Active Directoryを構成します。 Active DirectoryおよびActive Directory Application Mode (ADAM)のみ: カスタムID属性 (ObjectGUID以外の属性、たとえばsAMAccountName)をActive DirectoryまたはADAMで使用する場 合、「Lightweight Directory Access Protocol (LDAP)」を選択し、ディレクトリ・タイプ「その他」として構 成します。 5. 88 「次へ」をクリックします。 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 6. 必要なパラメータを入力します。 表8 「接続情報」画面 ラベル 説明 ディレクトリ・サーバー ユーザー・ディレクトリを選択します。ID属性値が、選択した製品の推奨される一定 の一意のアイデンティティ属性に変わります。 88ページのステップ 4でActive Directoryを選択した場合、このプロパティは自動的に選択されます。 次のシナリオ で、「その他」を選択します。 • リストされていないユーザー・ディレクトリ・タイプ(Oracle Virtual Directoryなど)を 構成しています。 ユーザー・ディレクトリの構成 89 ラベル 説明 • リストされているLDAP対応ユーザー・ディレクトリ(たとえばOID)を構成しています が、カスタムID属性は使用しません。 • カスタムID属性を使用するActive DirectoryまたはADAMを構成しています。 注: Oracle Virtual Directoryでは、LDAPディレクトリとRDMBSデータ・リポジトリの 抽象化が仮想化されて1つのディレクトリ・ビューで提供されるため、Oracle Virtual Directoryでサポートされるユーザー・ディレクトリの数やタイプに関係なく、EPM Systemでは1つの外部ユーザー・ディレクトリとみなされます。 例: Oracle Internet Directory 名前 ユーザー・ディレクトリのわかりやすい名前。複数のユーザー・ディレクトリが構成されて いる場合は、特定のユーザー・ディレクトリを識別するために使用します。「名前」には、 空白とアンダースコア以外の特殊文字を含めることはできません。 例: Corporate_OID DNS検索 Active Directoryのみ: このオプションを選択してDNS検索を使用可能にしま す。 87ページのDNS検索とホスト名検索を参照してください。DNS検索は、接続 が失敗しないように、本番環境でのActive Directoryへの接続方法として構成する ことをお薦めします。 注: グローバル・カタログを構成している場合は、このオプションを選択しないでください。 このオプションを選択すると、次のフィールドが表示されます: • ドメイン: Active Directoryフォレストのドメイン名です。 例: example.comまたはus.example.com • ADサイト: Active Directoryサイト名で、通常はActive Directory構成コンテナ に保管されているサイト・オブジェクトの相対的な識別名です。一般的にADサイト により、市、都道府県、地域や国などの地理的な場所が識別されます。 例: Santa ClaraまたはUS_West_region • DNSサーバー: ドメイン・コントローラのDNSサーバー検索をサポートするサーバーの DNS名。 ホスト名 Active Directoryのみ: このオプションを選択して静的なホスト名検索を使用可能に します。 87ページのDNS検索とホスト名検索を参照してください。 注: Active Directoryグローバル・カタログを構成している場合は、このオプションを選択 します。 ホスト名 ユーザー・ディレクトリ・サーバーのDNS名。SiteMinderからSSOをサポートするために ユーザー・ディレクトリを使用する場合は、完全修飾のドメイン名を使用します。ホスト 名は、テスト目的でActive Directory接続を確立する場合にのみ使用することをお 薦めします。 90 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 ラベル 説明 注: Active Directoryグローバル・カタログを構成している場合は、グローバル・カタログ・ サーバーのホスト名を指定します。 87ページのグローバル・カタログを参照してくだ さい。 例: MyServer ポート ユーザー・ディレクトリが実行するポート番号。 注: Active Directoryグローバル・カタログを構成している場合は、グローバル・カタログ・ サーバーが使用するポート(デフォルトは3268)を指定します。 87ページのグローバ ル・カタログを参照してください。 例: 389 SSL使用可能 このユーザー・ディレクトリとのセキュア通信を使用可能にするチェック・ボックス。ユー ザー・ディレクトリは、セキュア通信として構成する必要があります。 ベースDN ユーザーおよびグループの検索を開始するノードの識別名(DN)。また、「DNのフェッ チ」ボタンを使用して、使用可能なベースDNのリストを表示し、そのリストから適切な ベースDNを選択できます。 注: グローバル・カタログを構成している場合は、フォレストのベースDNを指定します。 特殊文字の使用上の制限については、 110ページの特殊文字の使用方法を参照 してください。 EPM System製品のすべてのユーザーとグループを含む最下位のDN を選択することをお薦めします。 例: dc=example,dc=com ID属性 この属性値は、「ディレクトリ・タイプ」で「その他」が選択されている場合のみ変更で きます。この属性はディレクトリ・サーバー上のユーザーおよびグループ・オブジェクトに 存在する共通の属性である必要があります。 この属性の推奨値が自動的に、OID (orclguid)、SunONE (nsuniqueid)、IBM Directory Server (Ibm-entry Uuid)、Novell eDirectory (GUID)およびActive Directory (ObjectGUID)に設定 されます。 例: orclguid 「ディレクトリ・サーバー」で「その他」を選択後、ID属性値を 手動で設定する場合(Oracle Virtual Directoryを構成する場合など)、ID属性値は 次のようになります: • 一意の属性を指します • 場所に固有ではありません • 時間の経過とともに変わりません 最大サイズ 検索が戻す結果の最大数。ユーザー・ディレクトリ設定でサポートする値よりもこの値が 大きい場合は、ユーザー・ディレクトリ値がこの値をオーバーライドします。 Active Directory以外のユーザー・ディレクトリの場合、このフィールドを空白にする と、検索条件を満たすすべてのユーザーとグループが取得されます。 ユーザー・ディレクトリの構成 91 ラベル 説明 Active Directoryの場合、この値を0に設定すると、検索条件を満たすすべてのユー ザーとグループが取得されます。 委任された管理モードでShared Servicesを構成している場合は、この値を0に設定 します。 信頼済 このプロバイダが信頼できるSSOソースであることを示すチェック・ボックス。信頼でき るソースからのSSOトークンにはユーザーのパスワードは含まれません。 匿名のバインド Shared Servicesで匿名をユーザー・ディレクトリにバインドしてユーザーおよびグルー プを検索できることを示すチェック・ボックス。ユーザー・ディレクトリが匿名のバインドを 許可する場合にのみ使用できます。このオプションを選択しない場合は、ユーザー情報 が保管されたディレクトリを検索するのに十分なアクセス権限を持つアカウントをユー ザーDNに指定する必要があります。 匿名のバインドを使用しないことをお薦めしま す。 注: 匿名のバインドはOIDではサポートされません。 ユーザーDN 「匿名のバインド」が選択されている場合、このオプションは使用不可です。 Shared Servicesがユーザー・ディレクトリとのバインドに使用するユーザーの識別名。 このユーザーにはDN内のRDN属性に対する検索権限が必要です。たとえば、dn: cn=John Doe, ou=people, dc=myCompany, dc=comでは、バインド・ユーザーに はcn属性への検索アクセス権が必要です。 ユーザーDNの値に特殊文字を指定する場合はエスケープ文字を使用する必要があり ます。制限については、 110ページの特殊文字の使用方法を参照してください。 例: cn=admin,dc=myCompany,dc=com ベースDNの追加 ベースDNをユーザーDNに追加するためのチェック・ボックス。ディレクトリ・マネージャ・ アカウントをユーザーDNとして使用している場合は、ベースDNを追加しないでくださ い。 「匿名のバインド」オプションが選択されている場合、このチェック・ボックスは使用不 可です。 パスワード ユーザーDNパスワード 「匿名のバインド」オプションが選択されている場合、このボックスは使用不可です。 例: UserDNpassword 詳細オプションの表示 詳細オプションを表示するチェック・ボックス。 参照 Active Directoryのみ: Active Directoryが構成されている場合は、「従う」を選択すると、LDAP参照に自動 的に従います。「無視」を選択すると、参照は使用されません。 92 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 ラベル 説明 別名の逆参照 Shared Servicesの検索で使用するメソッドを選択すると、ユーザー・ディレクトリの別 名が逆参照されます。これにより、別名のDNが指すオブジェクトが検索で取得されま す。選択: • 常時: 常に別名を逆参照します。 • なし: 別名を逆参照しません。 • 検索中: 名前解決の間にのみ別名を逆参照します。 • 検索中: 名前解決の後にのみ別名を逆参照します。 接続読取りタイムアウト この間隔(秒数)が経過した後も応答がない場合、LDAPプロバイダはLDAP読取り試 行を中止します。 デフォルト: 60秒 最大接続数 接続プール内の最大接続数。LDAPベースのディレクトリ(Active Directoryを含む) の場合、デフォルトは100です。 デフォルト: 100 タイムアウト プールから接続を取得するまでのタイムアウト。この期間が過ぎると例外が発生しま す。 デフォルト: 300000ミリ秒(5分) 削除間隔 オプション: 削除プロセスを実行してプールを消去するための間隔。削除プロセスに よって、「アイドル状態の接続許容時間」を超えたアイドル状態の接続が除去されます。 デフォルト: 120分 アイドル状態の接続許容時間 オプション: 削除プロセスがプール内のアイドル状態の接続を除去するまでの許容時 間。 デフォルト: 120分 接続の拡大 このオプションは、接続プールが最大接続数を超える接続を保持できるかどうかを示し ます。デフォルトで選択されています。接続プールが接続を保持できず、接続がタイムア ウトに設定された時間内に使用できない場合、システムはエラーを返します。 カスタム認証モジュールを使用 カスタム認証モジュールの使用を使用可能にして、このユーザー・ディレクトリで 可能にする 定義されたユーザーを認証するためのチェック・ボックス。認証モジュールの完全 修飾Javaクラス名も、「セキュリティ・オプション」画面で入力する必要がありま す。 106ページのセキュリティ・オプションの設定を参照してください。 カスタム認証モジュールの認証は、シン・クライアントおよびシック・クライアントに対し て透過的で、クライアントのデプロイメント変更は必要ありません。『Oracle Enterprise Performance Management Systemセキュリティ構成ガイド』のカスタム認証モジュール の使用に関する項を参照してください。 7. 「次へ」をクリックします。 Shared Servicesは、「ユーザー構成」画面に設定されたプロパティを使用して、ユーザーの検索を開始するノー ドの特定に利用されるユーザーURLを作成します。このURLを使用すると、検索効率が向上します。 ユーザー・ディレクトリの構成 93 注意 ユーザーURLは別名をポイントできません。EPM Systemのセキュリティでは、ユーザーURLが実 際のユーザーをポイントすることを求められます。 画面の「自動構成」領域を使用して、必要な情報を取得することをお薦めします。 注: ユーザー構成で使用できる特殊文字のリストについては、 110ページの特殊文字の使用方法を 参照してください。 8. 「自動構成」に、フォーマットattribute=identifierを使用して、一意のユーザー識別子を入力します。例: uid=jdoe。 ユーザーの属性は、「ユーザー構成」領域に表示されます。 OIDを構成している場合は、OIDのルートDSEがネーミング・コンテキスト属性内にエントリを含まないため、 ユーザー・フィルタを自動的に構成できません。『Oracle Fusion Middleware Oracle Internet Directory管理者 ガイド』のネーミング・コンテキストの管理に関する項を参照してください。 94 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 注: 「ユーザー構成」領域のテキスト・ボックスに、必要なユーザー属性を手動で入力できます。 表9 「ユーザー構成」画面 1 ラベル 説明 ユーザーRDN ユーザーの相対的な識別名。DNの各コンポーネントはRDNと呼ばれ、ディレクト リ・ツリー内の分岐を表します。ユーザーのRDNは一般に、uidまたはcnと同じで す。 制限については、 110ページの特殊文字の使用方法を参照してください。 例: ou=People ログイン属性 ユーザーのログオン名を保管する一意の属性(カスタム属性も可能)。ユーザー は、EPM System製品にログインするとき、この属性の値をユーザー名として使用 します。 ユーザーID (「ログイン属性」の値)は、すべてのユーザー・ディレクトリにわ たって一意である必要があります。たとえば、SunONE構成とActive Directory 構成の「ログイン属性」として、それぞれuidとsAMAccountNameを使用できます。 これらの属性の値は、ネイティブ・ディレクトリを含むすべてのユーザー・ディレクトリ にわたって一意である必要があります。 注: ユーザーIDでは、大文字と小文字が区別されません。 注: Kerberos環境のOracle Application ServerにデプロイされたEPM System 製品の外部ユーザー・ディレクトリとしてOIDを構成している場合は、このプロパ ティをuserPrincipalNameに設定する必要があります。 デフォルト • Active Directory: cn • Active Directory以外のLDAPディレクトリ: uid 名の属性 ユーザーの名を保管する属性 デフォルト: givenName 姓の属性 ユーザーの姓を保管する属性 デフォルト: sn 電子メール属性 オプション: ユーザーの電子メール・アドレスを保管する属性 デフォルト: mail オブジェクト・クラス ユーザー・ディレクトリの構成 ユーザーのオブジェクト・クラス(ユーザーに関連付けられる必須とオプションの属 性)。Shared Servicesは、この画面に表示されたオブジェクト・クラスを検索フィ 95 ラベル 説明 1 ルタで使用します。これらのオブジェクト・クラスを使用して、Shared Servicesは、 プロビジョニングされたすべてのユーザーを検索する必要があります。 注: ユーザー・ディレクトリ・タイプ「その他」としてActive DirectoryまたはADAMを、カ スタムID属性を使用するように構成している場合、この値をuserに設定する必要 があります。 オブジェクト・クラスは、必要に応じて手動で追加できます。オブジェクト・クラス を追加するには、「オブジェクト・クラス」ボックスにオブジェクト・クラス名を入力 し、「追加」をクリックします。 オブジェクト・クラスを削除するには、オブジェクト・ク ラスを選択し、「削除」をクリックします。 デフォルト • Active Directory: user • Active Directory以外のLDAPディレクトリ: person, organizational Person, inetorgperson ユーザーを制限するフィルタ EPM System製品の役割がプロビジョニングされるユーザーのみを取得する LDAP問合せ。たとえば、LDAP問合せ(uid=Hyp*)は、名前がHypで始まるユー ザーのみを取得します。 ユーザー構成画面はユーザーRDNを検証します。必要な場合は、ユーザー・フィルタ の使用をお薦めします。 ユーザー・フィルタは、問合せで戻されるユーザー数を制限します。ユーザーRDNに よって識別されるノードが、プロビジョニングされる必要のない多くのユーザーを含 む場合に特に重要です。ユーザー・フィルタは、プロビジョニングされる必要のない ユーザーを除外するために使用できます。これにより、パフォーマンスが向上します。 複数属性のRDN用のユーザー検 索属性 Active Directory以外のLDAP対応ユーザー・ディレクトリのみ: ディレクトリ・サー バーが複数属性のRDNを使用するように構成される場合にのみ、この値を設定し ます。設定した値はいずれかのRDN属性である必要があります。指定した属性の 値は一意で、属性は検索可能である必要があります。 たとえば、SunONEディレ クトリ・サーバーが、cn (cn=John Doe)およびuid (uid=jDoe12345)属性を組み 合わせるように構成され、次のような複数属性のRDNを作成するとします: cn=John Doe+uid=jDoe12345, ou= people, dc=myCompany, dc=com この場合、これらの属性が次の条件を満たしている場合には、cnまたはuidのい ずれかを使用できます: • この属性は「接続情報」タブにファイルされたユーザーDNで識別されたユーザー により検索可能です • この属性はユーザー・ディレクトリ全体で一意の値に設定する必要があります 96 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 ラベル 説明 1 カスタム・プライマリ・グループの解 Active Directoryのみ: 効果的な役割を決定するためにユーザーのプライマリ・ 決 グループを識別するかどうかを示すチェック・ボックス。このチェック・ボックスはデ フォルトで選択されています。この設定は変更しないことをお薦めします。 ユーザー・パスワードの期限が次の Active Directoryのみ: Active Directoryユーザーのパスワードが指定した日数 日数以内に切れる場合に警告を表 以内に期限切れになる場合に警告メッセージを表示するかどうかを示すチェック・ 示 ボックス。 1 EPM Systemセキュリティでは、構成値がオプションの一部のフィールドにデフォルト値が使用されます。そのようなフィールドに値を入力しない 場合、デフォルト値が実行時に使用されます。 9. 「次へ」をクリックします。 「グループ構成」画面が開きます。Shared Servicesは、この画面に設定されたプロパティを使用して、グループ の検索を開始するノードを特定するグループURLを作成します。このURLを使用すると、検索効率が向上しま す。 注意 グループURLは別名をポイントできません。EPM Systemのセキュリティでは、グループURLが実 際のグループをポイントすることを求められます。グループの別名を使用するNovell eDirectory を構成している場合、グループURL内でグループの別名とグループ・アカウントを使用できる必要 があります。 注: 「グループ構成」画面のデータ入力はオプションです。グループURLの設定を入力しない場 合、Shared Servicesは、ベースDN内を検索してグループを見つけます。これは特に、ユーザー・ ディレクトリに多くのユーザーが含まれている場合に悪影響をパフォーマンスに及ぼします。 ユーザー・ディレクトリの構成 97 10. 組織で、グループのプロビジョニングを予定していない場合、またはユーザーがユーザー・ディレクトリでループに 分類されない場合は、「グループのサポート」をクリアします。このオプションをクリアすると、この画面のフィール ドは使用不可になります。 グループをサポートしている場合は、自動構成機能を使用して、必要な情報を取得することをお薦めします。 OIDをユーザー・ディレクトリとして構成している場合は、自動構成機能を使用できません。理由は、OIDのルー トDSEがネーミング・コンテキスト属性内にエントリを含まないからです。『Oracle Fusion Middleware Oracle Internet Directory管理者ガイド』のネーミング・コンテキストの管理に関する項を参照してください。 11. 「自動構成」テキスト・ボックスに、一意のグループ識別子を入力し、「検索」をクリックします。 グループ識別子は、フォーマットattribute=identifierで指定する必要があります。例: cn=western_ region。 グループの属性は、「グループ構成」領域に表示されます。 注: 必要なグループ属性は、「グループ構成」テキスト・ボックスに入力できます。 注意 ノード名に/ (スラッシュ)または\ (円記号(バックスラッシュ))を含むユーザー・ディレクトリにグルー プURLが設定されていない場合、ユーザーおよびグループの検索は失敗します。たとえば、ユー ザーおよびグループが存在するノード内(OU=child\ou,OU=parent/ouまたはOU=child/ou, OU=parent \ ouなど)のユーザー・ディレクトリにグループURLが指定されていない場合、ユー ザーまたはグループを表示する操作は失敗します。 98 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 表10 「グループ構成」画面 1 ラベル 説明 グループRDN グループの相対DN。この値は、ベースDNの相対パスで、グループURLとして使用さ れます。 グループRDNを指定します。これにより、プロビジョニングする予定のすべて のグループが使用可能な最下位のユーザー・ディレクトリ・ノードが識別されます。 プロ ビジョニングにActive Directoryプライマリ・グループを使用する場合、プライマリ・グ ループがグループRDN下にあることを確認します。Shared Servicesでは、グループ URLのスコープ外のプライマリ・グループは取得されません。 グループRDNはログイン と検索のパフォーマンスに重大な影響を及ぼします。グループRDNはすべてのグルー プ検索の開始点であるため、EPM System製品のすべてのグループが使用可能な最 下位ノードを識別する必要があります。最適なパフォーマンスを保証するには、グループ RDN内に存在するグループのメンバーが10,000を超えないようにする必要がありま す。これより多くのグループが存在する場合は、グループ・フィルタを使用して、プロビ ジョニングするグループのみを取得します。 注: グループURL内の使用可能なグループ数が10,000を超えると、Shared Servicesは 警告を表示します。 制限については、 110ページの特殊文字の使用方法を参照してください。 例: ou= Groups 名前の属性 グループの名前を保管する属性 デフォルト • Active Directoryを含むLDAPディレクトリ: cn • ネイティブ・ディレクトリ: cssDisplayNameDefault オブジェクト・クラス グループのオブジェクト・クラス。Shared Servicesは、この画面に表示されたオブ ジェクト・クラスを検索フィルタで使用します。これらのオブジェクト・クラスを使用し て、Shared Servicesは、ユーザーに関連付けられたすべてのグループを検索する必要 があります。 注: ユーザー・ディレクトリ・タイプ「その他」としてActive DirectoryまたはADAMを、カスタ ムID属性を使用するように構成している場合、この値をgroup?memberに設定する必 要があります。 オブジェクト・クラスは、必要に応じて手動で追加できます。オブジェクト・クラスを追 加するには、「オブジェクト・クラス」テキスト・ボックスにオブジェクト・クラス名を入力 し、「追加」をクリックします。 オブジェクト・クラスを削除するには、オブジェクト・クラス を選択し、「削除」をクリックします。 デフォルト • Active Directory: group?member • Active Directory以外のLDAPディレクトリ: groupofuniquenames? uniquemember, groupOfNames?member • ネイティブ・ディレクトリ: groupofuniquenames?uniquemember, cssGroup Extend?cssIsActive ユーザー・ディレクトリの構成 99 1 ラベル 説明 グループを制限するフィルタ EPM System製品の役割がプロビジョニングされるグループのみを取得するLDAP 問合せ。たとえば、LDAP問合せ(|(cn=Hyp*)(cn=Admin*))は、名前がHypまた はAdminで始まるグループのみを取得します。 グループ・フィルタは、問合せで戻されるグループ数を制限するために使用します。グ ループRDNによって識別されるノードが、プロビジョニングされる必要のない多くのグ ループを含む場合に特に重要です。フィルタは、プロビジョニングされる必要のないグ ループを除外するために使用できます。これにより、パフォーマンスが向上します。 プロビジョニングにActive Directoryプライマリ・グループを使用する場合、設定した グループ・フィルタがグループURLのスコープ内に含まれるプライマリ・グループを取得 できることを確認します。たとえば、フィルタ(|(cn=Hyp*)(cn=Domain Users))は、 名前がHypで始まるグループとDomain Usersという名前のプライマリ・グループを取 得します。 1 EPM Systemセキュリティでは、構成値がオプションの一部のフィールドにデフォルト値が使用されます。そのようなフィールドに値を入力しない 場合、デフォルト値が実行時に使用されます。 12. 「終了」をクリックします。 Shared Servicesは構成を保存して、「定義済ユーザー・ディレクトリ」画面に戻ります。この画面には、今構成し たユーザー・ディレクトリが表示されます。 13. 構成をテストします。 103ページのユーザー・ディレクトリの接続のテストを参照してください。 14. 必要に応じて、検索順の割当てを変更します。詳細は、 105ページのユーザー・ディレクトリの検索順の管 理を参照してください。 15. 必要に応じて、セキュリティ・オプションを指定します。 106ページのセキュリティ・オプションの設定を参照し てください。 16. Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。 リレーショナル・データベースをユーザー・ディレクトリとして構 成する Oracle、SQL Server、およびIBM DB2リレーショナル・データベースのシステム表からのユーザーおよびグループ情 報を使用して、プロビジョニングをサポートできます。グループ情報がデータベースのシステム・スキーマから取得でき ない場合、Shared Servicesはそのデータベース・プロバイダからのグループのプロビジョニングはサポートしませ ん。たとえば、Shared Servicesは、データベースがオペレーティング・システム上で定義されているグループを使用 するため、古いバージョンのIBM DB2からグループ情報を抽出できません。ただし、プロビジョニング・マネージャは ネイティブ・ディレクトリのグループにこれらのユーザーを追加して、このグループをプロビジョニングできます。サポー トされているプラットフォームの情報は、Oracle Enterprise Performance Management製品 - サポートされるプ ラットフォームのメトリックを参照してください。 注: DB2データベースを使用する場合、ユーザー名は8文字以上にする必要があります。Oracleおよび SQL Serverデータベースの場合は256文字、DB2の場合は1000文字を超えないようにしてくだ さい。 100 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 ユーザーおよびグループのリストを取得するには、データベース管理者、たとえば、Oracle SYSTEMユーザーとしてデー タベースに接続できるようにShared Servicesを構成します。 注: Shared Servicesは、プロビジョニングに対してアクティブなデータベース・ユーザーのみ取得しま す。非アクティブでロックされているデータベース・ユーザー・アカウントは無視されます。 データベース・プロバイダを構成するには: 1. 2. 3. 4. 5. システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services Consoleの起動を参照してください。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 「追加」をクリックします。 「ディレクトリ・タイプ」画面で、「リレーショナル・データベース(Oracle、DB2、SQL Server)」を選択します。 「次へ」をクリックします。 6. 「データベースの構成」タブで、構成パラメータを入力します。 表11 「データベースの構成」タブ ラベル 説明 データベース・タイプ リレーショナル・データベース・プロバイダ。Shared Servicesは、データベース・プロバイダと してOracle、IBM DB2、およびSQL Serverデータベースのみサポートしています。 例: Oracle 名前 データベース・プロバイダの一意の構成名。 例: Oracle_DB_FINANCE サーバー データベース・サーバーが稼働しているコンピュータのDNS名。 例: myserver ポート データベース・サーバーのポート番号 例: 1521 サービス/SID (Oracleの システム識別子(デフォルトはorcl) み) ユーザー・ディレクトリの構成 101 ラベル 説明 例: orcl データベース(SQL Server Shared Servicesが接続する必要があるデータベース およびDB2のみ) 例: master ユーザー名 Shared Servicesがデータベースへのアクセスに使用するユーザー名。このデータベース・ ユーザーには、データベース・システム表へのアクセス権が必要です。Oracleデータベースに はシステム・アカウント、SQL ServerおよびIBM DB2データベースにはデータベース管理者 のユーザー名を使用することをお薦めします。 例: SYSTEM パスワード 「ユーザー名」でユーザーを識別するパスワード。 例: system_password 信頼済 7. このプロバイダが信頼できるSSOソースであることを指定するチェック・ボックス。信頼でき るソースからのSSOトークンにはユーザーのパスワードは含まれません。 オプション: 接続プールを構成するには、「次へ」をクリックします。 「詳細なデータベース構成」タブが開きます。 8. 「詳細なデータベース構成」タブで、接続プールのパラメータを入力します。 表12 「詳細なデータベース構成」タブ ラベル 説明 最大接続数 プールの最大接続数。デフォルトは50です。 初期サイズ プールを初期化する場合に使用可能な接続数。デフォルトは20です。 アイドル状態の接続許容 時間 オプション: 削除プロセスがプール内のアイドル状態の接続を除去するまでの許容時間。 デフォルトは10分です。 削除間隔 オプション: プールを消去するために削除プロセスを実行する間隔。削除はアイドル状態の 接続許容時間を超えたアイドル接続を除去します。デフォルトは5分です。 接続の拡大 接続プールが最大接続数を超える接続を保持できるかどうかを示します。デフォルトでは、こ のオプションはクリアされており、接続は保持できないことを示します。接続プールが接続 を保持できず、接続がタイムアウトに設定された時間内に使用できない場合、システムはエ ラーを返します。 102 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 ラベル 説明 カスタム認証モジュールを カスタム認証モジュールの使用を使用可能にして、このユーザー・ディレクトリで定義された 使用可能にする ユーザーを認証するためのチェック・ボックス。認証モジュールの完全修飾Javaクラス名も、 「セキュリティ・オプション」画面で入力する必要があります。 106ページのセキュリティ・ オプションの設定を参照してください。 カスタム認証モジュールの認証は、シン・クライアントおよびシック・クライアントに対して透 過的に行われます。『Oracle Enterprise Performance Management Systemセキュリティ構 成ガイド』のカスタム認証モジュールの使用に関する項を参照してください。 9. 「終了」をクリックします。 10. 「定義済ユーザー・ディレクトリ」画面に戻るには、「OK」をクリックします。 11. データベース・プロバイダ構成をテストします。 103ページのユーザー・ディレクトリの接続のテストを参照して ください。 12. 必要に応じて、検索順の割当てを変更します。詳細は、 105ページのユーザー・ディレクトリの検索順の管 理を参照してください。 13. 必要に応じて、セキュリティ設定を指定します。 106ページのセキュリティ・オプションの設定を参照してくだ さい。 14. Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。 ユーザー・ディレクトリの接続のテスト ユーザー・ディレクトリの構成後、Shared Servicesが現在の設定を使用してユーザー・ディレクトリに接続できること を確認するため、接続をテストします。 ユーザー・ディレクトリ接続をテストするには: 1. 2. 3. 4. システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services Consoleの起動を参照してください。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 ユーザー・ディレクトリのリストから、テストする外部ユーザー・ディレクトリ構成を選択します。 「テスト」、「OK」の順にクリックします。 ユーザー・ディレクトリ設定の編集 管理者は名前以外のユーザー・ディレクトリ構成のパラメータを変更できます。プロビジョニング用に使用されていた ユーザー・ディレクトリの構成データは編集しないことをお薦めします。 注意 たとえば、ユーザー・ディレクトリ構成のID属性などのいくつかの設定を編集すると、プロビジョニン グ・データが使用不可になります。プロビジョニングされたユーザー・ディレクトリの設定を変更する 場合は、十分注意してください。 ユーザー・ディレクトリ構成を編集するには: ユーザー・ディレクトリの構成 103 1. 2. 3. 4. 5. システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services Consoleの起動を参照してください。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 編集するユーザー・ディレクトリを選択します。 「編集」をクリックします。 構成設定を変更します。 注: 構成名は変更できません。LDAPユーザー・ディレクトリ構成を変更する場合、「ディレクトリ・サー バー」リストから別のディレクトリ・サーバーや「その他」(カスタムLDAPディレクトリの場合)を選択で きます。ネイティブ・ディレクトリ・パラメータは編集できません。 編集可能なパラメータの説明については、次の表を参照してください: • Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリ: ○ 89ページの表 8 ○ 95ページの表 9 ○ 99ページの表 10 • データベース: 101ページの表 11を参照 6. 「OK」をクリックして、変更を保存します。 ユーザー・ディレクトリ構成の削除 システム管理者はユーザー・ディレクトリ構成をいつでも削除できます。構成を削除すると、ユーザー・ディレクトリから 取得されたユーザーおよびグループのプロビジョニング情報がすべて使用不可になり、検索順からディレクトリが除 去されます。 ヒント: プロビジョニング用に使用された構成済のユーザー・ディレクトリを使用しない場合、ユーザーおよ びグループの検索に使用されないように検索順から除去します。このアクションにより、プロビジョ ニング情報の整合性を維持し、後でユーザー・ディレクトリを使用できます。 ユーザー・ディレクトリ構成を削除するには: 1. 2. 3. 4. 5. 6. 7. 104 システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services Consoleの起動を参照してください。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 ディレクトリを選択します。 「削除」をクリックします。 「OK」をクリックします。 再度「OK」をクリックします。 Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 ユーザー・ディレクトリの検索順の管理 システム管理者が外部ユーザー・ディレクトリを構成すると、Shared Servicesにより自動的にユーザー・ディレクトリ が検索順に追加され、ネイティブ・ディレクトリの検索順より上位の次の使用可能な検索順が割り当てられます。検 索順は、EPM Systemでユーザーとグループについて検索する際、構成されたユーザー・ディレクトリ間を循環するた めに使用されます。 システム管理者はユーザー・ディレクトリを検索順から除去できます。この場合、Shared Servicesにより残りのディ レクトリの検索順が自動的に再割当てされます。検索順に含まれないユーザー・ディレクトリは、認証およびプロビ ジョニングのサポートに使用されません。 注: Shared Servicesは、指定されたアカウントを検出するとユーザーまたはグループの検索を停止し ます。EPM Systemユーザーの大部分が存在する企業ディレクトリを検索順の一番上に配置する ことをお薦めします。 デフォルトでは、ネイティブ・ディレクトリは検索順の最後のディレクトリとして設定されます。管理者は検索順を管理 するために、次のタスクを実行できます。 • 105ページのユーザー・ディレクトリの検索順への追加 • 106ページの検索順の変更 • 105ページの検索順の割当ての除去 ユーザー・ディレクトリの検索順への追加 新規に構成されたユーザー・ディレクトリは、検索順に自動的に追加されます。検索順からディレクトリを除去した場 合、検索順の最後にそれを追加できます。 検索順にユーザー・ディレクトリを追加するには: 1. 2. 3. 4. システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services Consoleの起動を参照してください。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 検索順に追加する非アクティブなユーザー・ディレクトリを選択します。 「含む」をクリックします。 このボタンは、検索順にないユーザー・ディレクトリを選択している場合のみ使用可能です。 5. 6. 「定義済ユーザー・ディレクトリ」画面に戻るには、「OK」をクリックします。 Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。 検索順の割当ての除去 検索順からユーザー・ディレクトリを除去してもディレクトリ構成が無効にならず、ユーザー認証のために検索される ディレクトリのリストからユーザー・ディレクトリが除去されます。検索順に含まれないディレクトリは、「非アクティブ」ス ユーザー・ディレクトリの構成 105 テータスに設定されます。管理者が検索順からユーザー・ディレクトリを除去すると、他のユーザー・ディレクトリに割り 当てられている検索順は自動的に更新されます。 注: ネイティブ・ディレクトリは検索順から削除できません。 検索順からユーザー・ディレクトリを除去するには: 1. 2. 3. 4. 5. 6. 7. システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services Consoleの起動を参照してください。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 検索順から除去するディレクトリを選択します。 「除外」をクリックします。 「OK」をクリックします。 「ディレクトリの構成結果」画面で「OK」をクリックします。 Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。 検索順の変更 各ユーザー・ディレクトリに割り当てられているデフォルトの検索順は、ディレクトリが構成されたシーケンスに基づき ます。デフォルトでは、ネイティブ・ディレクトリは検索順の最後のディレクトリとして設定されます。 検索順を変更するには: 1. 2. 3. 4. 5. 6. システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services Consoleの起動を参照してください。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 検索順を変更するユーザー・ディレクトリを選択します。 「上へ移動」または「下へ移動」をクリックします。 「OK」をクリックします。 Foundation Servicesとその他のEPM Systemコンポーネント、およびShared ServicesセキュリティAPIを 使用するカスタム・アプリケーションを再起動します。 セキュリティ・オプションの設定 セキュリティ・オプションは、検索順に含まれるすべてのユーザー・ディレクトリに適用可能なグローバル・パラメータか ら構成されています。 セキュリティ・オプションを設定するには: 1. 2. 3. 4. 106 システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services Consoleの起動を参照してください。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 「セキュリティ・オプション」を選択します。 「セキュリティ・オプション」では、グローバル・パラメータを設定します。 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 表13 ユーザー・ディレクトリ用のセキュリティ・オプション パラメータ 説明 トークンのタイムアウト EPM System製品またはWebアイデンティティ管理ソリューションが発行元となる SSOトークンの期限が切れるまでの時間(分)。ユーザーは、この期間が過ぎてからロ グインする必要があります。トークンのタイムアウトは、サーバーのシステム・クロック に基づいて設定されます。デフォルトは480分です。 注: トークンのタイムアウトは、セッションのタイムアウトとは異なります。 キャッシュのリフレッシュ間隔 Shared Servicesのグループ・キャッシュをユーザー関係データにリフレッシュする間 隔(分)。デフォルトは60分です。 Shared Servicesでは、次のキャッシュ・リフレッシュ後にのみ、新しい外部ユー ザー・ディレクトリ・グループと、既存のグループに追加された新しいユーザーに関する 情報がキャッシュされます。新規に作成された外部ユーザー・ディレクトリ・グループ を通じてプロビジョニングされたユーザーの役割は、キャッシュがリフレッシュされる までプロビジョニングされません。 今すぐリフレッシュ グループを含むShared Servicesキャッシュのユーザー関係データへのリフレッシュ を手動で開始するには、このボタンをクリックします。外部ユーザー・ディレクトリに新 規グループを作成し、それらをプロビジョニングした後、または新規ユーザーを既存 のグループに追加した後に、キャッシュ・リフレッシュを開始することが必要な場合が あります。キャッシュは、Shared Servicesによってキャッシュ内のデータを使用する 呼出しが行われた後にのみリフレッシュされます。 SSO互換性の有効化 ユーザー・ディレクトリの構成 デプロイメントがOracle Business Intelligence Enterprise Editionリリース11. 1.1.5以前と統合した場合は、このオプションを選択します。 107 パラメータ 説明 委任されたユーザー管理モードを 使用可能にする EPM System製品の委任されたユーザー管理を使用可能にし、配布されたプロビ ジョニング・アクティビティの管理をサポートするオプション。『Oracle Enterprise SSOの使用可能 Oracle Access Managerなどのセキュリティ・エージェントからのSSOのサポート を使用可能にするオプション SSOプロバイダ/エージェント EPM System製品がSSOを受け入れる必要のあるWebアイデンティティ管理ソ リューションを選択します。Webアイデンティティ管理ソリューション(Kerberosなど) Performance Management Systemユーザー・セキュリティ管理ガイド』の委任されたユー ザー管理に関する項を参照してください。 がリストされていない場合、「その他」を選択します。 SSOプロバイダを選択すると、希望するSSOメカニズムと名前が自動的に選択され ます。必要に応じて、SSOメカニズム(HTTPヘッダーまたはカスタム・ログイン・クラ ス)の名前を変更できます。 SSOプロバイダまたはエージェントとして「その他を選択した場合、EPM Systemの サポートするSSOメカニズムをサポートすることを確認する必要があります。『Oracle Enterprise Performance Management Systemセキュリティ構成ガイド』のサポートされ るSSOメソッドに関する項を参照してください。 SSOメカニズム ユーザーのログイン名をEPM System製品に提供するために選択したWebアイデ ンティティ管理ソリューションで使用されるメソッド。受入れ可能なSSOメソッドの説 明は、『Oracle Enterprise Performance Management Systemセキュリティ構成ガイ ド』のサポートされているSSOメソッドに関する項を参照してください。 • カスタムHTTPヘッダー: セキュリティ・エージェントがEPM Systemに渡すヘッダー の名前を設定します。 • カスタム・ログイン・クラス: 認証用のHTTP要求を処理するカスタムJavaクラスを 指定します。『Oracle Enterprise Performance Management Systemセキュリティ 構成ガイド』のカスタム・ログイン・クラスに関する項を参照してください。 注: カスタム・ログイン・クラスは、カスタム認証と同じではありません。 • HTTP認証ヘッダー: 標準HTTPメカニズム。 • HTTP要求からリモート・ユーザーを取得: セキュリティ・エージェントによってHTTP 要求にリモート・ユーザーが挿入される場合、このオプションを選択します。 カスタム認証モジュール 認証モジュールで、カスタム認証モジュールが選択されているすべてのユーザー・ ディレクトリでユーザーの認証に使用される必要があるカスタム認証モジュールの完 全修飾Javaクラス名(たとえば、com.mycompany.epm.CustomAuthentication Impl)。 認証モジュールは、ディレクトリ構成で使用可能(デフォルト)である場合に のみ、ユーザー・ディレクトリに使用されます。 Foundation Servicesでは、カスタ ム認証JARファイルの名前がcustomAuth.jarである必要があります。Custom Auth.jarは次のように配置する必要があります: 108 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 パラメータ 説明 • WebLogic: CustomAuth.jarをEPM_ORACLE_HOME/user_projects/ domains/WEBLOGIC_DOMAIN/lib (通常Oracle/Middleware/user_ projects/domains/EPMSystem/lib)にコピーします。 • WebSphere: CustomAuth.jarをEPM_ORACLE_HOME/common/jlib/11.1. 2.0 (通常Oracle/Middleware/common/jlib/11.1.2.0)にコピーします。 JARファイル内では任意のパッケージ構造およびクラス名を使用できます。 詳細 は、『Oracle Enterprise Performance Management Systemセキュリティ構成ガイド』の カスタム認証モジュールの使用に関する項を参照してください。 5. 6. 「OK」をクリックします。 Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。 暗号化鍵の再生成 EPM Systemでは、次のキーを使用してセキュリティを保証します。 • シングル・サインオン暗号化鍵。EPM System SSOトークンの暗号化と復号化に使用されます。このキー は、Shared Servicesレジストリに保管されます • 信頼できるサービス・キー。EPM Systemコンポーネントで、SSOトークンを要求しているサービスの認証の確認に 使用されます • プロバイダ構成暗号化鍵。EPM Systemセキュリティで、構成されている外部ユーザー・ディレクトリとのバインド に使用されるパスワード(LDAP対応ユーザー・ディレクトリのユーザーDNパスワード)の暗号化に使用されます。こ のパスワードは、外部ユーザー・ディレクトリの構成時設定されます。 EPM Systemセキュリティを強化するために、これらのキーを定期的に変更します。 注意 シングル・サインオン暗号化鍵の再生成時、Financial Management、Performance Management ArchitectおよびProfitability and Cost Managementで使用されるタスクフ ローは無効化されます。鍵を再生成した後に、タスクフローを開いて保存して再度有効にします。 シングル・サインオン暗号化鍵、プロバイダ構成キーまたは信頼できるサービス・キーを再生成するには: 1. 2. 3. 4. システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services Consoleの起動を参照してください。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 「暗号化オプション」を選択します。 「暗号化オプション」で、再生成するキーを選択します。 表14 EPM Systemの暗号化オプション オプション 説明 シングル・サインオン・トークン EPM System SSOトークンの暗号化と復号化に使用さ れる暗号化鍵を再生成する場合に選択します。 「セキュリ ユーザー・ディレクトリの構成 109 オプション 説明 ティ・オプション」で「SSO互換性の使用可能化」が設定さ れている場合、次のいずれかのボタンを選択します。 • 新規SSOトークン暗号化鍵を作成する場合、「新しい キーの生成」。 • デフォルトのSSOトークン暗号化鍵をリストアする場 合、「デフォルトにリセット」。 注: デフォルトの暗号化鍵に戻す場合は、既存のキース トア・ファイル(EPM_ORACLE_HOME/common/CSS/ss HandlerTK)を、すべてのEPM Systemホスト・マシンか ら削除する必要があります。 信頼できるサービス・キー EPM Systemコンポーネントで、SSOトークンを要求してい るサービスの認証の確認に使用される信頼できる認証キー を再生成する場合、このオプションを選択します。 プロバイダ構成キー EPM Systemセキュリティで、構成されている外部ユー ザー・ディレクトリとのバインドに使用されるパスワード (LDAP対応ユーザー・ディレクトリのユーザーDNパスワー ド)の暗号化に使用されるキーを再生成する場合、このオプ ションを選択します。このパスワードは、外部ユーザー・ディレ クトリの構成時設定されます。 5. 6. 「OK」をクリックします。 SSO暗号化キーを新たに生成する場合、この手順を完了させます。 a. b. 7. 「ダウンロード」をクリックします。 「OK」をクリックして、ssHandlerTK(新規SSO暗号化鍵をサポートするキーストア・ファイル)を Foundation Servicesをホストするサーバーのフォルダに保存します。 c. ssHandlerTKをすべてのEPM Systemホスト・マシン上のEPM_ORACLE_HOME/common/CSSにコピーし ます。 Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。 特殊文字の使用方法 Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリでは、DN、ユーザー名、役割およびグループ 名などのエンティティで特殊文字が使用可能です。このような文字を理解させるには、Shared Servicesに対して 特別な処理が必要になる場合があります。 通常、ユーザー・ディレクトリ設定(ベースDNやユーザーおよびグループのURLなど)で特殊文字を指定する場合は、 エスケープ文字を使用する必要があります。 110ページの表 15は、ユーザー名、グループ名、ユーザーURL、グ ループURL、およびユーザーDNのOUの値で使用可能な特殊文字をリストしています。 表15 サポートされる特殊文字 文字 ( 110 1 名前または意味 文字 名前または意味 左カッコ $ ドル EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 文字 1 名前または意味 文字 名前または意味 ) 右カッコ + プラス " 二重引用符 & アンパサンド ' 一重引用符 \ 円記号(バックスラッシュ) , カンマ ^ 脱字記号 = 次と等しい ; セミコロン < 次より小さい # ポンド > 次より大きい @ アット記号 1 ベースDN内の組織単位名に/(スラッシュ)を使用しないでください • 特殊文字はログイン・ユーザー属性の値には使用できません。 • アスタリスク(*)は、ユーザー名、グループ名、ユーザーURL、グループURL、またはユーザーDNのOU名には使用で きません。 • 特殊文字の組合せを含んだ属性値は使用できません。 • アンパサンド(&)は、エスケープ文字なしで使用できます。Active Directoryの設定では、&は&のように指 定する必要があります。 • ユーザー名とグループ名には円記号(バックスラッシュ)(\)とスラッシュ(/)の両方を使用できません。たとえ ば、test/\userやnew\test/userのような名前は使用できません。 表16 エスケープする必要がない文字 文字 名前または意味 文字 名前または意味 ( 左カッコ ' 一重引用符 ) 右カッコ ^ 脱字記号 $ ドル @ アット記号 &1 アンパサンド 1 &のように記述されている必要があります。 これらの文字は、ユーザー・ディレクトリの設定(ユーザー名、グループ名、ユーザーURL、グループURLおよびユーザー DN)で使用する場合にエスケープされる必要があります。 表17 ユーザー・ディレクトリ構成設定における特殊文字のエスケープ 特殊文字 エスケープ サンプル設定 エスケープの例 カンマ(,) 円記号(バックスラッシュ) (\) ou=test,ou ou=test\,ou プラス符号(+) 円記号(バックスラッシュ) (\) ou=test+ou ou=test\+ou 次と等しい(=) 円記号(バックスラッシュ) (\) ou=test=ou ou=test\=ou ポンド(#) 円記号(バックスラッシュ) (\) ou=test#ou ou=test\#ou ユーザー・ディレクトリの構成 111 特殊文字 エスケープ サンプル設定 エスケープの例 セミコロン(;) 円記号(バックスラッシュ) (\) ou=test;ou ou=test\;ou 次より小さい(<) \< ou=test<ou ou=test\<ou 次より大きい(>) \> ou=test>ou ou=test\>ou " (二重引用符) \\ (二重円記号(バックス ラッシュ)) ou=test"ou ou=test\\"ou \ (円記号(バックスラッ シュ))2 \\\ (三重円記号(バックス ou=test\ou ラッシュ)) 1 1 ou=test\\\\ou ユーザーDNでは、二重引用符(")は、1つの円記号(バックスラッシュ)でエスケープされる必要があります。たとえばou=test”ouは、ユーザーDN ではou=test\”ouと指定する必要があります。 2 ユーザーDNでは、円記号(バックスラッシュ)(\)は、1つの円記号(バックスラッシュ)でエスケープされる必要があります。たとえばou=test \ouは、ユーザーDNではou=test\\ouと指定する必要があります。 注意 ユーザーURLが指定されていない場合、RDNルート内で作成されるユーザーに/ (スラッシュ)また は\ (円記号(バックスラッシュ))が含まれていてはいけません。同様に、グループURLが指定され ない場合、これらの文字はRDNルート内に作成されたグループ名で使用してはいけません。たと えば、OU=child\ou,OU=parent/ouまたはOU=child/ou,OU=parent\ouなどのグループ名は、 サポートされません。この問題は、ユーザー・ディレクトリ構成のID属性に一意の属性を使用してい る場合は該当しません。 112 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 5 カスタム認証モジュールの使用方法 この項の内容: 概要 .................................................................................................................................... 使用事例の例と制限 .............................................................................................................. 前提条件 .............................................................................................................................. 設計およびコーディングに関する考慮事項 .................................................................................. カスタム認証モジュールのデプロイ ............................................................................................ 113 115 115 115 120 概要 カスタム認証モジュールは、EPM Systemユーザーを認証するためにユーザーが開発および実行するJavaモジュー ルです。通常、EPM System製品では、ユーザー名とパスワードの取得にログオン画面が使用されます。ユーザー名 とパスワードはユーザーの認証に使用されます。EPM System認証を使用するかわりに、カスタム認証モジュールを 使用してユーザーを認証し、その後の処理のために認証済ユーザー資格証明をEPM Systemに渡すことができま す。カスタム認証モジュールの実装にはEPM System製品の変更は含まれません。 カスタム認証モジュールは、シック・クライアント(Oracle Smart View for OfficeおよびOracle Essbase Studio など)とシン・クライアント(EPM Workspaceなど)の両方で使用できます。 カスタム認証モジュールは、ユーザーがEPM System製品にログインする際に入力する情報を使用します。ユー ザー・ディレクトリに対して使用可能な場合、カスタム認証モジュールを使用してユーザーを認証します。ユーザーを正 しく認証できた場合、カスタム認証モジュールはEPM Systemにユーザー名を戻します。 次の図は、カスタム認証のシナリオの例を示しています: カスタム認証モジュールの使用方法 113 たとえば、RSA SecurIDインフラストラクチャをカスタム・プロバイダとして使用し、EPM Systemへの透過的で強 力な認証を確保します。概要: 1. ユーザーは資格証明(通常、ユーザー名とパスワード)を入力してEPM System製品にアクセスします。これらの 資格証明は、カスタム認証モジュールで使用されるプロバイダに対してユーザーを一意に識別する必要がありま す。たとえば、RSA SecurIDインフラストラクチャを使用してユーザーを認証する場合、ユーザーはRSAユーザー IDとPIN(EPM SystemユーザーIDおよびパスワードではなく)を入力します。 2. 検索順序( 115ページの検索順序を参照)を使用すると、 EPM Systemは構成済ユーザー・ディレクトリ内を 循環し、ユーザーを検索します。 • 現在のユーザー・ディレクトリがカスタム認証用に構成されていない場合、EPM Systemは、EPM System認 証を使用してユーザーを検索し、認証しようとします。 • ユーザー・ディレクトリがカスタム認証用に構成されている場合、EPM Systemは認証プロセスをカスタム・モ ジュールに委任します。 3. EPM Systemが認証をカスタム・モジュールに委任した場合、カスタム認証モジュールは資格証明を受け入れ、 その独自のロジックを使用してカスタム・プロバイダ(RSA SecurIDインフラストラクチャなど)に対してユーザー 認証を送ります。 4. カスタム認証モジュールでそのプロバイダに対してユーザーが認証される場合、ユーザー名がEPM Systemに戻 されるか、Java例外が戻されます。 カスタム認証モジュールで戻されるユーザー名は、カスタム認証で使用可能なユーザー・ディレクトリのユーザー名 と同一である必要があります。 • カスタム認証モジュールでユーザー名が戻された場合、EPM Systemは、カスタム認証で使用可能なユー ザー・ディレクトリでユーザーを検索します。この段階では、EPM Systemはカスタム認証用に構成されていな いユーザー・ディレクトリは検索しません。 114 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 • カスタム認証モジュールで例外がスローされるか、nullユーザーが戻された場合、EPM Systemは、カスタム 認証が使用可能になっていない、検索順序の残りのユーザー・ディレクトリ内でユーザーの検索を続行します。 資格証明が一致するユーザーが見つからない場合、EPM Systemにエラーが表示されます。 使用事例の例と制限 カスタム認証の実装シナリオには、次のようなものがあります: • ワンタイム・パスワード・サポートの追加 • Resource Access Control Facility (RACF)に対する認証の実行 • 簡単なLDAPバインドのかわりにSimple Authentication and Security Layer (SASL)バインドをLDAP対応 ユーザー・ディレクトリに追加 チャレンジ/応答メカニズムの認証は、カスタム認証モジュールを実装している場合、うまく機能しない可能性があり ます。カスタム認証モジュールによってスローされたカスタム・メッセージは、クライアントに伝播されません。クライア ント(EPM Workspaceなど)が通常のメッセージを表示するためにエラー・メッセージをオーバーライドするので、次の シナリオは有効ではありません: • 2つの連続するRSA SecurID PIN • チャレンジのパスワード変形(パスワードの最初、最後および3番目の文字の入力など) 前提条件 • CustomAuth.jarという完全にテストされたJavaアーカイブには、カスタム認証モジュール・ライブラリが含ま れます。CustomAuth.jarは、標準Shared Services APIの一部としてcom.hyperion.cssパッケージで 定義される、パブリック・インタフェースCSSCustomAuthenticationIFを実装する必要があります。http:// download.oracle.com/docs/cd/E12825_01/epm.111/epm_security_api_11111/client/com/ hyperion/css/CSSCustomAuthenticationIF.htmlを参照してください。 • Shared Services管理者としてのShared Servicesへのアクセス権 設計およびコーディングに関する考慮事項 サブトピック • 検索順序 • ユーザー・ディレクトリおよびカスタム認証モジュール • CSSCustomAuthenticationIF Javaインタフェース 検索順序 ネイティブ・ディレクトリ以外に、複数のユーザー・ディレクトリをShared Servicesに構成することができます。デ フォルトの検索順序の位置は、すべての構成済ユーザー・ディレクトリに割り当てられます。検索順序をShared カスタム認証モジュールの使用方法 115 Services Consoleから変更できます。ネイティブ・ディレクトリを除き、構成済ユーザー・ディレクトリは検索順序か ら除去できます。EPM Systemでは検索順序に含まれていないユーザー・ディレクトリは使用されません。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』を参照してください。 検索順序により、ユーザーの認証のためにEPM Systemがユーザー・ディレクトリ内を循環する順序が決定されます。 ユーザーがユーザー・ディレクトリ内で認証されている場合、EPM Systemは検索を停止し、ユーザーを戻します。ユー ザーが検索順序内のユーザー・ディレクトリに対して認証されていない場合、EPM Systemは認証を拒否してエラー を戻します。 検索順序でのカスタム認証の影響 カスタム認証は、EPM Systemセキュリティによる検索順序の解釈に影響を及ぼします。 カスタム認証モジュールでユーザー名が戻された場合、EPM Systemは、カスタム認証で使用可能なユーザー・ディ レクトリのみでユーザーを検索します。この段階では、EPM Systemはカスタム認証用に構成されていないユーザー・ ディレクトリを無視します。 カスタム認証のフローについて 次の使用事例シナリオを、カスタム認証のフローを調査するために使用します: • 116ページの使用事例シナリオ1 • 117ページの使用事例シナリオ2 • 118ページの使用事例シナリオ3 使用事例シナリオ1 116ページの表 18は、このシナリオで使用されるEPM Systemユーザー・ディレクトリの構成と検索順序の詳細 です。このシナリオでは、カスタム認証モジュールがRSAインフラストラクチャを使用してユーザーを認証すると仮定 します。 表18 シナリオ1の設定 1 ユーザー・ディレクトリ 検索順序 のタイプと名前 カスタム認証 サンプル・ユーザー名 パスワード ネイティブ・ディレクト リ 使用不可 test_user_1 1 password test_user_2 test_user_3 LDAP対応 SunONE_West 2 使用不可 test_ldap1 test_ldap_2 test_user_3 116 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 ldappassword ユーザー・ディレクトリ 検索順序 のタイプと名前 カスタム認証 1 サンプル・ユーザー名 パスワード test_ldap_4 LDAP対応 3 使用可能 SunONE_East test_ldap1 test_ldap_2 test_user_3 SunONEで はldappassword、カ スタム・モジュールで はRSA PIN 1 単純化するため、すべてのユーザーが同じユーザー・ディレクトリ・パスワードを使用すると仮定します。 認証プロセスを開始するには、ユーザーはEPM System製品のログオン画面でユーザー名とパスワードを入力しま す。 このシナリオでは、カスタム認証モジュールは次のアクションを実行します: • ユーザー名とRSA PINをユーザー資格証明として受け入れます • ユーザー名をusername@providername形式(たとえば、test_ldap_2@SunONE_East)でEPM Systemセキュリ ティに戻します 表19 ユーザーのやりとりと結果 ユーザー名およびパスワード 認証結果 ログイン・ユーザー・ディレクトリ test_user_1/password 成功 ネイティブ・ディレクトリ test_user_3/password 成功 ネイティブ・ディレクトリ test_user_3/ldappassword 成功 SunONE_West (検索順序2)1 test_user_3/RSA PIN 成功 SunONE_East (検索順序3)2 test_ldap_2/ldappassword 成功 SunONE_West (検索順序2) test_ldap_4/RSA PIN 失敗 EPM Systemに認証エラーが表示さ れます。3 1 ユーザーはEPM System資格証明を入力したので、カスタム認証ではこのユーザーは認証できません。EPM Systemはカスタム認証で使用 可能でないユーザー・ディレクトリでのみこのユーザーを識別できます。ユーザーはネイティブ・ディレクトリ(検索順序番号1)にはなく、SunONE West(検索順序番号2)で識別されます。 2 EPM Systemは、このユーザーをネイティブ・ディレクトリ(検索順序番号1)またはSunONE West(検索順序番号2)で見つけられません。カスタ ム認証モジュールではRSAサーバーに対してユーザーを検証し、test_user_3@SunONE_EASTをEPM Systemに戻します。EPM Systemはユー ザーをSunONE East(検索順序番号3)で検索します。これはカスタム認証が有効なディレクトリです。 3 カスタム・モジュールで認証されているユーザーはすべて、検索順序に含まれるカスタム認証が有効なユーザー・ディレクトリに含めることをお薦 めします。カスタム認証モジュールで戻されるユーザー名が、検索順序に含まれるカスタム認証が有効なユーザー・ディレクトリにない場合、ログイ ンは失敗します。 使用事例シナリオ2 118ページの表 20は、このシナリオで使用されるEPM Systemユーザー・ディレクトリの構成と検索順序の詳細 です。このシナリオでは、カスタム認証モジュールがRSAインフラストラクチャを使用してユーザーを認証すると仮定 します。 このシナリオでは、カスタム認証モジュールは次のアクションを実行します: カスタム認証モジュールの使用方法 117 • ユーザー名とRSA PINをユーザー資格証明として受け入れます • ユーザー名(たとえば、test_ldap_2)をEPM Systemセキュリティに戻します。 表20 検索順序の例 1 ユーザー・ディレクトリ 検索順序 カスタム認証 サンプル・ユーザー名 パスワード ネイティブ・ディレクト リ 使用不可 test_user_1 1 password test_user_2 test_user_3 LDAP対応(たとえ ば、SunONE) 2 使用可能 test_ldap1 test_ldap2 test_user_3 SunONEで はldappassword、カ スタム・モジュールで はRSA PIN 1 単純化するため、すべてのユーザーが同じユーザー・ディレクトリ・パスワードを使用すると仮定します。 認証プロセスを開始するには、ユーザーはEPM System製品のログイン画面でユーザー名とパスワードを入力しま す。 表21 ユーザーのやりとりと結果 ユーザー名およびパスワード ログイン結果 ログイン・ユーザー・ディレクトリ test_user_1/password 成功 ネイティブ・ディレクトリ test_user_3/password 成功 ネイティブ・ディレクトリ test_user_3/ldappassword 失敗 SunONE1 test_user_3/RSA PIN 成功 SunONE2 1 ネイティブ・ディレクトリに対するユーザーの認証は、パスワードが一致していないために失敗します。カスタム認証モジュールを使用したユーザー の認証は、使用されたパスワードが有効なRSA PINではないため失敗します。EPM Systemは、カスタム認証設定がこのディレクトリのEPM System認証をオーバーライドしたため、SunONE (検索順序2)でこのユーザーの認証を試行しません。 2 ネイティブ・ディレクトリに対するユーザーの認証は、パスワードが一致していないために失敗します。カスタム認証モジュールによりユーザーが認 証され、ユーザー名test_user_3がEPM Systemに戻されます。 使用事例シナリオ3 118ページの表 22は、このシナリオで使用されるEPM Systemユーザー・ディレクトリの構成と検索順序の詳細 です。このシナリオでは、カスタム認証モジュールがRSAインフラストラクチャを使用してユーザーを認証すると仮定 します。 このようなシナリオの明確さのため、カスタム認証モジュールがユーザー名をusername@providername形式(たと えば、test_ldap_4@SunONE)で戻すことをお薦めします。 表22 検索順序の例 1 ユーザー・ディレクトリ 検索順序 カスタム認証 サンプル・ユーザー名 パスワード ネイティブ・ディレクト リ 使用可能 test_user_1 118 1 test_user_2 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 RSA_PIN ユーザー・ディレクトリ 検索順序 カスタム認証 1 サンプル・ユーザー名 パスワード test_user_3 LDAP対応(たとえ ば、MSAD) 2 使用不可 test_ldap1 ldappassword test_ldap4 test_user_3 LDAP対応(たとえ ば、SunONE) 3 使用可能 test_ldap1 test_ldap4 test_user_3 SunONEで はldappassword、カ スタム・モジュールで はRSA PIN 1 単純化するため、すべてのユーザーが同じユーザー・ディレクトリ・パスワードを使用すると仮定します。 認証プロセスを開始するには、ユーザーはEPM System製品のログオン画面でユーザー名とパスワードを入力しま す。 表23 ユーザーのやりとりと結果 ユーザー名およびパスワード 認証結果 ログイン・ユーザー・ディレクトリ test_user_1/password 成功 ネイティブ・ディレクトリ test_user_3/RSA_PIN 成功 ネイティブ・ディレクトリ test_user_3/ldappassword 成功 MSAD (検索順序2) test_ldap_4/ldappassword 成功 MSAD (検索順序2) test_ldap_4/RSA PIN 成功 SunONE (検索順序3) ユーザー・ディレクトリおよびカスタム認証モジュール カスタム認証モジュールを使用するには、EPM Systemユーザーおよびグループ情報を含むユーザー・ディレクトリを、 カスタム・モジュールに認証を委任するよう個別に構成できます。 カスタム・モジュールを使用して認証されたEPM Systemユーザーは、検索順序( 115ページの検索順序を参照) に含まれたユーザー・ディレクトリの1つに含まれている必要があります。また、ユーザー・ディレクトリは、認証をカスタ ム・モジュールに委任するよう構成されている必要があります。 カスタム・プロバイダのユーザーのアイデンティティ(たとえば、RSA SecurIDインフラストラクチャの1357642) は、Shared Servicesで構成されるユーザー・ディレクトリのユーザー名(たとえば、Oracle Internet Directory のjDoe)と異なる場合があります。ユーザーの認証後、カスタム認証モジュールは、ユーザー名jDoeをEPM System に戻す必要があります。 注: ベスト・プラクティスとして、EPM Systemで構成されるユーザー・ディレクトリのユーザー名は、カス タム認証モジュールで使用されるユーザー・ディレクトリで使用可能なものと同一にすることをお薦 めします。 カスタム認証モジュールの使用方法 119 CSSCustomAuthenticationIF Javaインタフェース カスタム認証モジュールは、EPM Systemセキュリティ・フレームワークとの統合にCSSCustomAuthenticationIF Javaインタフェースを使用する必要があります。カスタム認証が成功した場合はユーザー名の文字列を、認証が失 敗した場合はエラー・メッセージを戻す必要があります。認証プロセスが完了した場合、カスタム認証モジュールに よって戻されたユーザー名は、Shared Services検索順序に含まれるユーザー・ディレクトリの1つに存在する必要が あります。EPM Systemセキュリティ・フレームワークでは、username@providerName形式がサポートされています。 注: カスタム認証モジュールが戻すユーザー名に* (アスタリスク)を含めないでください。EPM System セキュリティ・フレームワークがユーザーの検索中にワイルドカード文字と解釈します。 CSSCustomAuthenticationIFインタフェース・シグネチャについては、 131ページのサンプル・コード1を参照し てください。 使用するカスタム認証モジュールは、CustomAuth.jarに含める必要があるクラス・ファイルにできます。パッケージ 構造は重要ではありません。 CSSCustomAuthenticationIFインタフェースの詳細は、セキュリティAPIのドキュメントを参照してください。 CSSCustomAuthenticationIFのauthenticateメソッドではカスタム認証がサポートされます。authenticateメ ソッドは、EPM Systemにアクセスしようとする際にユーザーが入力した資格証明(ユーザー名とパスワード)を入力パ ラメータとして受け入れます。このメソッドは、カスタム認証が成功した場合に文字列(ユーザー名)を戻します。認証に 失敗した場合はjava.lang.Exceptionをスローします。メソッドにより戻されるユーザー名は、Shared Services検 索順序に含まれるユーザー・ディレクトリの1つでユーザーを一意に識別する必要があります。EPM Systemセキュリ ティ・フレームワークでは、username@providerName形式がサポートされています。 注: リソース(たとえば、JDBC接続プール)を初期化するには、クラス・コンストラクタを使用します。これ により、認証のたびにリソースをロードすることがなくなり、パフォーマンスが向上します。 カスタム認証モジュールのデプロイ サブトピック • 手順の概要 • Shared Servicesでの設定の更新 • デプロイメントのテスト EPM Systemデプロイメントには、1つのカスタム・モジュールのみサポートされます。検索順序の1つ以上のユー ザー・ディレクトリに付いてカスタム認証を有効にできます。 カスタム認証モジュールは、com.hyperion.cssパッケージで定義されるパブリック・インタフェースCSSCustom AuthenticationIFを実装する必要があります。このドキュメントでは、選択したユーザー・プロバイダに対してユー 120 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 ザーを認証するロジックを定義する完全な機能のカスタム・モジュールを持っていることを前提としています。カスタ ム認証モジュールを開発およびテストした後、EPM System環境で実装する必要があります。 手順の概要 カスタム認証コードではエラー・ロギングにlog4jを使用しないでください。以前のリリースで使用したコードでlog4jを 使用している場合は、このリリースで使用する前に、コードから削除する必要があります。 カスタム認証モジュールを実装するには、次の手順を実行します: • EPM System製品を停止します。これには、Shared ServicesとShared Services APIを使用するシステムが 含まれます。 • カスタム認証モジュールのJavaアーカイブCustomAuth.jarを次のデプロイメントにコピーします: ○WebLogic: CustomAuth.jarをEPM_ORACLE_HOME/user_projects/domains/WEBLOGIC_DOMAIN/lib (通常Oracle/Middleware/user_projects/domains/EPMSystem/lib)にコピーします。 カスタム認証モジュールの実装を含んだリリース11.1.2.0または11.1.2.1からアップグレードしている場 合、CustomAuth.jarをEPM_ORACLE_HOME/common/jlib/11.1.2.0からEPM_ORACLE_HOME/user_ projects/domains/WEBLOGIC_DOMAIN/libに移動します。 ○WebSphere: CustomAuth.jarをEPM_ORACLE_HOME/common/jlib/11.1.2.0 (通常Oracle/ Middleware/common/jlib/11.1.2.0)にコピーします。 • Shared Servicesのユーザー・ディレクトリ設定を更新します。 121ページのShared Servicesでの設定の更 新を参照してください。 • Shared Servicesを開始してから、その他のEPM System製品を開始します。 • 実装をテストします。 122ページのデプロイメントのテストを参照してください。 Shared Servicesでの設定の更新 サブトピック • ユーザー・ディレクトリ構成の更新 • セキュリティ・オプションの更新 デフォルトでは、カスタム認証は、すべてのユーザー・ディレクトリで使用不可です。デフォルトの動作をオーバーライド して、特定の外部ユーザー・ディレクトリまたはネイティブ・ディレクトリに対して、カスタム認証を使用可能にできます。 ユーザー・ディレクトリ構成の更新 カスタム認証を使用可能にするユーザー・ディレクトリの構成を更新する必要があります。 ユーザー・ディレクトリ構成を更新するには: 1. 2. 3. Foundation Servicesを起動します。 システム管理者としてShared Services Consoleにアクセスします。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 カスタム認証モジュールの使用方法 121 4. 「定義済ユーザー・ディレクトリ」画面で、カスタム認証設定を変更するユーザー・ディレクトリを選択します。 注: EPM Systemは、検索順序に含まれたユーザー・ディレクトリのみを使用します。 5. 6. 7. 8. 9. 「編集」をクリックします。 「詳細オプションの表示」を選択します。 「カスタム・モジュール」で、「認証モジュール」を選択し、現在のユーザー・ディレクトリに対してカスタム・モジュー ルを使用可能にします。 「終了」をクリックします。 この手順を繰り返して、検索順序に含まれる他のユーザー・ディレクトリの構成を更新します。 セキュリティ・オプションの更新 CustomAuth.jarがEPM_ORACLE_HOME/user_projects/domains/WEBLOGIC_DOMAIN/libで使用可能である ことを確認してから、次の手順を開始してください。 セキュリティ・オプションを更新するには: 1. 2. 3. 4. 5. 6. システム管理者としてShared Services Consoleにアクセスします。 「管理」、「ユーザー・ディレクトリの構成」の順に選択します。 「セキュリティ・オプション」を選択します。 「詳細オプションの表示」を選択します。 認証モジュールで、カスタム認証モジュールが選択されるすべてのユーザー・ディレクトリでユーザーの認証に使 用されるカスタム認証モジュールの完全修飾クラス名を入力します。たとえば、com.mycompany.epm.Custom AuthenticationImplです。 「OK」をクリックします。 デプロイメントのテスト ネイティブ・ディレクトリがカスタム認証に対して構成されていない場合、カスタム認証のテストにネイティブ・ディレ クトリ・ユーザーを使用しないでください。 注: カスタム認証モジュールの問題を識別して修正する必要があります。カスタム・モジュールで使用 するユーザー・ディレクトリからのユーザーをEPM System検索順序で使用可能なカスタム認証が 有効なユーザー・ディレクトリのユーザーにマップするために、カスタム・モジュールがフレームレスに 機能することを想定しています。 デプロイメントをテストするには、カスタム・モジュールで使用されるユーザー・ディレクトリ(たとえば、RSA Secur IDインフラストラクチャ)からのユーザー資格証明を使用してEPM Systemにログインします。これらの資格証明 は、EPM Systemの資格証明と異なる場合があります。 EPM System製品でリソースへのアクセスを許可された場合、実装は成功したと考えられます。ユーザーが見つか らなかったというエラーが常に実装の失敗を示しているわけではありません。このような場合、入力した資格証明が 122 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 カスタム・ユーザー・ストアに存在するか、一致するユーザーがEPM System検索順序でカスタム認証が有効なユー ザー・ディレクトリの1つに存在するかを確認してください。 カスタム認証をテストするには: 1. 2. 3. EPM System製品が実行されていることを確認します。 EPM Systemコンポーネント、たとえばEPM Workspaceにアクセスします。 カスタム認証が有効なユーザーディレクトリで定義されているユーザーとしてログインします。 4. a. 「ユーザー名」に、ユーザーID(たとえば、RSAユーザーID)を入力します。 b. 「パスワード」に、パスワード(たとえば、RSA PIN)を入力します。 c. 「ログイン」をクリックします。 EPM System製品のリソースにアクセスできたことを確認します。 カスタム認証モジュールの使用方法 123 124 6 EPM Systemの保護のガイドライン この項の内容: SSLの実装 ........................................................................................................................... 管理パスワードの変更 ............................................................................................................. 暗号化鍵の再生成 ................................................................................................................. データベース・パスワードの変更 ................................................................................................. Cookieの保護 ...................................................................................................................... SSOトークンのタイムアウトの低減 ............................................................................................. セキュリティ・レポートの確認 ..................................................................................................... 認証システムの強力な認証としてのカスタマイズ ......................................................................... Financial Managementの詳細なエラー・メッセージの非表示 ...................................................... UDLファイルの暗号化(Financial Management) ..................................................................... EPM Workspaceのデバッグ・ユーティリティを使用不可にする ..................................................... デフォルトのWebサーバー・エラー・ページの変更 .......................................................................... サードパーティ製ソフトウェアのサポート ....................................................................................... 125 125 125 126 127 127 127 127 128 128 128 129 129 SSLの実装 SSLでは、データを暗号化する暗号システムを使用します。SSLは、データを安全に送信できるクライアントとサーバー 間の安全な接続を作成します。 EPM System環境をセキュリティ保護するには、Webアプリケーションおよびユーザー・ディレクトリ接続で使用され るすべての通信チャネルを、SSLを使用して保護します。 19ページの第2章「EPM SystemコンポーネントのSSL使 用可能化」を参照してください。 管理パスワードの変更 デフォルトのネイティブ・ディレクトリ管理ユーザー・アカウントでは、すべてのShared Services機能へのアクセスが 提供されます。このパスワードは、Foundation Servicesのデプロイ時に設定されます。このアカウントのパスワード を定期的に変更する必要があります。 パスワードを変更するには、adminユーザー・アカウントを編集します。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のユーザー・アカウントの変更に関する項を参照してください。 暗号化鍵の再生成 Shared Services Consoleを使用して、次のものを定期的に再生成します: EPM Systemの保護のガイドライン 125 • シングル・サインオン・トークン 注意 Financial Management、Oracle Hyperion EPM ArchitectおよびOracle Hyperion Profitability and Cost Managementで使用されるタスクフローは、新しいキーストアの生成時 には無効化されています。キーストアを再生成した後に、タスクフローを開いて保存すると、タスクフ ローは再度有効化されます。 • 信頼できるサービス・キー • プロバイダ構成キー 109ページの暗号化鍵の再生成を参照してください。 データベース・パスワードの変更 EPM System製品のすべてのデータベースのパスワードを定期的に変更します。Oracle Hyperion Shared Servicesレジストリでデータベースのパスワードを変更する手順の詳細は、この項で説明します。 EPM System製品のデータベース・パスワードを変更する詳細手順は、『Oracle Enterprise Performance Management Systemインストールおよび構成ガイド』を参照してください。 EPM System製品のデータベースのパスワードをShared Servicesレジストリで変更するには: 1. 2. 3. データベース管理コンソールを使用して、EPM System製品のデータベースの構成に使用したアカウントを持つ ユーザーのパスワードを変更します。 EPM System製品(Webアプリケーション、サービスおよびプロセス)を停止します。 EPM Systemコンフィグレータを使用して、次の手順のいずれかを実行してデータベースを再構成します。 Shared Servicesのみ: 注: EPM System製品がShared Servicesと異なるマシンに存在する分散環境では、すべてのサー バーでこの手順を実行する必要があります。 a. b. 4. EPM SystemコンフィグレータのFoundationタスクから「データベースの構成」を選択します。 「Shared Servicesおよびレジストリ・データベース構成」ページで、「前に構成されたShared Services データベースに接続」を選択します。 c. Shared Servicesデータベースを構成するのに使用したアカウントを持つユーザーの新パスワードを指定し ます。他の設定は変更しないでください。 d. 構成を続行し、完了したら「終了」をクリックします。 Shared Services以外のEPM System製品: 注: 現在のサーバーにデプロイされているEPM System製品に対しのみ、次の手順を行います。 126 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 a. b. c. 5. EPM Systemコンフィグレータの製品の構成タスク・リストから、「データベースの構成」を選択します。 「データベースの構成」ページで、「データベースの初回構成を実行」を選択します。 EPM System製品のデータベースを構成するのに使用したアカウントを持つユーザーの新パスワードを指 定します。他の設定は変更しないでください。 d. 「次へ」をクリックします。 e. 「既存のデータベースを再使用します」を選択します。 f. 構成を続行し、完了したら「終了」をクリックします。 EPM System製品およびサービスを開始します。 Cookieの保護 EPM SystemのWebアプリケーションは、cookieを設定してセッションを追跡します。特にセッションのcookieを設 定しているとき、サーバーは保護フラグを設定できます。これにより、ブラウザは保護チャネルを介してcookieを送信 できます。この動作で、セッションが乗っ取られる危険性が低くなります。 注: EPM System製品がSSL使用可能の環境にデプロイされる場合のみCookieを保護します。 WebLogic Serverセッションの記述子を変更して、WebLogic ServerのCookieを保護します。sessionparam要素内のcookieSecure属性の値をTRUEに設定します。Oracle WebLogic Server 11g用のOracle Fusion Middlewareプログラミング・セキュリティのWeb アプリケーションの保護に関する項を参照してください。 SSOトークンのタイムアウトの低減 SSOトークンのデフォルトのタイムアウトは480分です。SSOトークンのタイムアウトを、たとえば60分に縮小する と、表示されている場合はトークンの再利用を最小限にできます。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のセキュリティ・オプションの設定に関する項を参照してください。 セキュリティ・レポートの確認 セキュリティ・レポートには、監査を構成しているセキュリティ・タスクに関する監査情報が含まれています。特に EPM System製品で失敗したログイン試行とプロビジョニングの変更を識別するために、このレポートをShared Services Consoleで定期的に生成し確認します。レポート生成オプションとして「詳細ビュー」を選択し、変更 された属性と新しい属性値に基づいてレポート・データをグループ化します。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のレポートの生成に関する項を参照してください。 認証システムの強力な認証としてのカスタマイズ カスタム認証モジュールを使用して、EPM Systemに強力な認証を追加できます。たとえば、RSA SecurID twofactor認証をnonchallenge応答モードで使用できます。カスタム認証モジュールは、シン・クライアントおよびシッ EPM Systemの保護のガイドライン 127 ク・クライアントに対して透過的であり、クライアント側のデプロイメント変更は必要ありません。 113ページの第5章 「カスタム認証モジュールの使用方法」を参照してください。 Financial Managementの詳細なエラー・メッセージの非表示 技術情報を含むFinancial Managementの詳細なエラー・メッセージは、Windowsレジストリ・エントリを更新する ことで、ユーザーに非表示にすることができます。 詳細な技術情報を含むエラー・メッセージを非表示にするには: 1. 2. Financial ManagementのホストとなるWindowsサーバーで、Windowsレジストリ・エディタを起動します。 HKEY_LOCAL_MACHINE\SOFTWARE\Hyperion Solutions\Hyperion Financial Managementに移動し ます。 これらの設定を使用して、新しいDWORD値を作成します: 3. 値名: DisableTechnicalError 値データ: 1(0に設定すると詳細メッセージが表示されます) 4. Financial ManagementのホストとなるIISサーバーのホストとなるWindowsサーバーで、Windowsレジスト リ・エディタを起動します。 HKEY_LOCAL_MACHINE\SOFTWARE\Hyperion Solutions\Hyperion Financial Management\webに 移動します。 これらの設定を使用して、新しいDWORD値を作成します: 5. 6. 値名: DisableAspTechnicalErrorMessage 値データ: 1 (この値を0に設定すると詳細メッセージが表示されます。) UDLファイルの暗号化(Financial Management) Financial Managementの構成中に、EPM Systemコンフィグレータはデフォルトで暗号化されていないUDL ファイルを作成します。このファイルは、Oracle Hyperion Enterprise Performance Management System コンフィグレータの詳細データベース・オプション・ページのオプションを選択するか、構成の完了後にEncrypt HFMUDLユーティリティを実行することによって、暗号化できます。 『Oracle Enterprise Performance Management Systemインストールおよび構成ガイド』のUDLファイルの暗号化に関 する項を参照してください。 EPM Workspaceのデバッグ・ユーティリティを使用不可にする • トラブルシューティングの目的で、EPM Workspaceは未処理のJavaScriptファイルとともに出荷されます。セ キュリティの目的で、これらの未処理のJavaScriptファイルを本番環境から除去する必要があります: ○EPM_ORACLE_HOME/common/epmstatic/wspace/js/ディレクトリのバックアップ・コピーを作成します。 ○ファイルDIRECTORY_NAME.jsを除き、EPM_ORACLE_HOME/common/epmstatic/wspace/jsの各サブディレ クトリから.jsファイルを削除します。 128 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 各サブディレクトリには、ディレクトリの名前を持つ.jsファイルが含まれています。たとえば、EPM_ORACLE_ HOME/common/epmstatic/wspace/js/com/hyperion/bpm/web/commonにはCommon.jsが含まれてい ます。ディレクトリの名前を持つファイル(この場合はCommon.js)以外のすべての.jsファイルを除去します。 • EPM Workspaceでは、EPM Workspaceがデバッグ・モードでデプロイされた場合にアクセス可能になる デバッグ・ユーティリティおよびテスト・アプリケーションを提供します。セキュリティの目的で、管理者はEPM Workspaceのクライアント側のデバッグをオフにする必要があります。 デバッグ・モードをオフにするには: 1. Oracle Hyperion Enterprise Performance Management Workspaceに管理者としてログインします。 2. 「ナビゲート」、「管理者」、「Workspaceサーバー設定」の順に選択します。 3. 「Workspaceサーバー設定」のClientDebugEnabledで、「いいえ」を選択します。 4. 「OK」をクリックします。 デフォルトのWebサーバー・エラー・ページの変更 アプリケーション・サーバーが要求を受け入れられないとき、バックエンド・アプリケーション・サーバーのWebサーバー・ プラグイン(Oracle WebLogic ServerのOracle HTTP Serverプラグインなど)はプラグインの構築情報が表示 されたデフォルトのエラー・ページを戻します。これ以外にも、Webサーバーによってデフォルトのエラー・ページが表示 される場合があります。攻撃者は、この情報から公共のWebサイトの既知の脆弱性を知ることができます。 Webアプリケーション・サーバー・プラグインおよびWebサーバーのエラー・ページをカスタマイズして、サーバーのバー ジョン、サーバー・タイプ、プラグインの作成日、プラグイン・タイプなどの本番環境用システム・コンポーネントに関す る情報が含まれないようにできます。詳細は、ご使用のアプリケーション・サーバーおよびWebサーバーのベンダーのド キュメントを参照してください。 サードパーティ製ソフトウェアのサポート オラクル社は、サードパーティ・ベンダーが明言している下位互換性を了承し、サポートします。したがって、ベンダーが 下位互換を明言している場合、その後のメンテナンス・リリースやサービス・パックを使用できます。互換性がないこ とがわかると、オラクル社では、製品をデプロイすべきパッチ・リリースを指定(およびサポート・マトリックスから互換性 のないバージョンを削除)するか、そのOracle製品のメンテナンス・リリースまたはサービス・フィックスを提供します。 サーバー側の更新: サードパーティ製サーバー側コンポーネントのアップグレードに関するサポートは将来のメンテナン ス・リリースに関する方針に従います。通常、Oracleでは、サードパーティ製サーバー側コンポーネントについて、現在 サポートしているリリースのサービス・パックの次回メンテナンス・リリースへのアップグレードをサポートします。次回の 主要リリースへのアップグレードはサポートされません。 クライアント側の更新: Oracleではクライアント・コンポーネントの自動更新をサポートしています。これには、サード パーティ製クライアント・コンポーネントの次回主要リリースへの更新が含まれます。たとえば、ブラウザのJREバージョ ンを1.5から1.6に更新できます。 EPM Systemの保護のガイドライン 129 130 カスタム認証サンプル・コード A この項の内容: サンプル・コード1 .................................................................................................................... 131 サンプル・コード2 .................................................................................................................... 132 サンプル・コード2のデータ・ファイル ........................................................................................... 134 サンプル・コード1 注: カスタム認証コードではエラー・ロギングにlog4jを使用しないでください。以前のリリースで使用し たカスタム認証コードでlog4jを使用している場合は、このリリースで使用する前に、コードから削除 する必要があります。 次のコード・スニペットは、カスタム・モジュールの空の実装です: package com.hyperion.css.custom; import java.util.Map; import com.hyperion.css.CSSCustomAuthenticationIF; public class CustomAuthenticationImpl implements CSSCustomAuthenticationIF { public String authenticate(Map context,String userName, String password) throws Exception{ try{ //Custom code to find and authenticate the user goes here. //The code should do the following: //if authentication succeeds: //set authenticationSuccessFlag = true //return authenticatedUserName // if authentication fails: //log an authentication failure //throw authentication exception } catch (Exception e){ //Custom code to handle authentication exception goes here //Create a new exception, set the root cause //Set any custom error message //Return the exception to the caller } return authenticatedUserName; } 付録A カスタム認証サンプル・コード 131 } 入力パラメータ: • コンテキスト: ロケール情報のキーと値のペアを含むマップ • ユーザー名: カスタム・モジュールがユーザーを認証するユーザー・ディレクトリにユーザーを一意に識別する識別子。 ユーザーは、EPM Systemコンポーネントにログインする際にこのパラメータの値を入力します。 • パスワード: カスタム・モジュールがユーザーを認証するユーザー・ディレクトリのユーザーのパスワード・セット。ユー ザーは、EPM Systemコンポーネントにログインする際にこのパラメータの値を入力します。 サンプル・コード2 次のサンプル・コードは、フラット・ファイルに含まれるユーザー名とパスワードを使用したユーザーのカスタム認証を示 します。カスタム認証を機能させるには、クラス・コンストラクタ内のユーザーとパスワードのリストを初期化する必要が あります。 package com.hyperion.css.security; import import import import java.util.Map; java.util.HashMap; com.hyperion.css.CSSCustomAuthenticationIF; java.io.*; public class CSSCustomAuthenticationImpl implements CSSCustomAuthenticationIF{ static final String DATA_FILE = "datafile.txt"; /** * * * * * * * * * * * * * * * * */ authenticate method includes the core implementation of the Custom Authentication Mechanism. If custom authentication is enabled for the provider, authentication operations are delegated to this method. Upon successful authentication, this method returns a valid user name, using which EPM System retrieves the user from a custom authentication enabled provider. User name can be returned in the format username@providerName, where providerName indicates the name of the underlying provider where the user is available. authenticate method can use other private methods to access various core components of the custom authentication module. @param context @param userName @param password @return @throws Exception Map users = null; public CSSCustomAuthenticationImpl(){ users = new HashMap(); InputStream is = null; BufferedReader br = null; String line; String[] userDetails = null; String userKey = null; try{ 132 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 is = CSSCustomAuthenticationImpl.class.getResourceAsStream(DATA_FILE); br = new BufferedReader(new InputStreamReader(is)); while(null != (line = br.readLine())){ userDetails = line.split(":"); if(userDetails != null && userDetails.length==3){ userKey = userDetails[0]+ ":" + userDetails[1]; users.put(userKey, userDetails[2]); } } } } catch(Exception e){ // log a message } finally{ try{ if(br != null) br.close(); if(is != null) is.close(); } catch(IOException ioe){ ioe.printStackTrace(); } } /* Use this authenticate method snippet to return username from a flat file */ public String authenticate(Map context, String userName, String password) throws Exception{ //userName : user input for the userName //password : user input for password //context : Map, can be used to additional information required by // the custom authentication module. String authenticatedUserKey = userName + ":" + password; if(users.get(authenticatedUserKey)!=null) return(String)users.get(authenticatedUserKey); else throw new Exception("Invalid User Credentials"); } /* Refer to this authenticate method snippet to return username in username@providername format */ public String authenticate(Map context, String userName, String password) throws Exception{ //userName : user input //password : user input //context : Map can be // the custom for userName for password used to additional information required by authentication module. //Your code should uniquely identify the user in a custom provider and in a configured //user directory in Shared Services. EPM Security expects you to append the provider //name to the user name. Provider name must be identical to the name of a custom //authentication-enabled user directory specified in Shared Services. //If invalid arguments, return null or throw exception with appropriate message //set authenticationSuccessFlag = false String authenticatedUserKey = userName + ":" + password; 付録A カスタム認証サンプル・コード 133 } if(users.get(authenticatedUserKey)!=null) String userNameStr = (new StringBuffer()) .append((String)users.get(authenticatedUserKey)) .append("@").append(PROVIDER_NAME).toString(); return userNameStr; else throw new Exception("Invalid User Credentials"); } サンプル・コード2のデータ・ファイル データ・ファイルがdatafile.txtという名前(サンプル・コードで使用される名前)で、作成するJavaアーカイブに含 まれていることを確認してください。 サンプル・コード2 ( 132ページのサンプル・コード2を参照)で実装されるカスタム認証モジュールをサポートするた めにカスタム・ユーザー・ディレクトリとして使用されるフラット・ファイルのコンテンツとして次を使用します。 xyz:password:admin test1:password:test1@LDAP1 test1:password:test1 test1@LDAP1:password:test1@LDAP1 test1@1:password:test1 user1:Password2:user1@SunONE1 user1_1:Password2:user1 user3:Password3:user3 DS_User1:Password123:DS_User1@MSAD1 DS_User1:Password123:DS_User1 DS_User1@1:Password123:DS_User1 ユーザー名をusername@providername形式で戻す予定の場合にカスタム・ユーザー・ディレクトリとして使用される フラット・ファイルのコンテンツとして次を使用します: xyz:password:admin test1:password:test1 test1@1:password:test1 user1_1:Password2:user1 user3:Password3:user3 DS1_1G100U_User61_1:Password123:DS1_1G100U_User61 DS1_1G100U_User61_1@1:Password123:DS1_1G100U_User61 TUser:password:TUser 134 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 B カスタム・ログイン・クラスの実装 この項の内容: カスタム・ログイン・クラス・サンプル・コード .................................................................................. 135 カスタム・ログイン・クラスのデプロイ .......................................................................................... 137 EPM Systemは、com.hyperion.css.sso.agent.X509CertificateSecurityAgentImplを提供して、X509 証明書からユーザー・アイデンティティ(DN)を抽出します。 DN以外の証明書にある属性からユーザーアイデンティティを取得する必要がある場合、この付録で説明しているよ うに、com.hyperion.css.sso.agent.X509CertificateSecurityAgentImplに類似したカスタム・ログイン・ クラスを開発および実装する必要があります。 カスタム・ログイン・クラス・サンプル・コード このサンプル・コードは、デフォルトのcom.hyperion.css.sso.agent.X509CertificateSecurityAgent Implの実装を示しています。通常、この実装のparseCertificate(String sCertificate)メソッドをカスタマ イズして、DN以外の証明書属性からユーザー名を取得する必要があります。 package com.hyperion.css.sso.agent; import import import import import import import import java.io.ByteArrayInputStream; java.io.UnsupportedEncodingException; java.security.Principal; java.security.cert.CertificateException; java.security.cert.CertificateFactory; java.security.cert.X509Certificate; com.hyperion.css.CSSSecurityAgentIF; com.hyperion.css.common.configuration.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; /** * X509CertificateAuthImpl implements the CSSSecurityAgentIF interface It accepts * the X509 certificate of the authenticated user from the Web Server via a * header, parses the certificate, extracts the DN of the User and * authenticates the user. */ public class X509CertificateSecurityAgentImpl implements CSSSecurityAgentIF { static final String IDENTITY_ATTR = "CN"; String g_userDN = null; String g_userName = null; String hostAdrress= null; 付録B カスタム・ログイン・クラスの実装 135 /** * Returns the User name (login name) of the authenticated user, * for example demouser. See CSS API documentation for more information */ public String getUserName(HttpServletRequest req, HttpServletResponse res) throws Exception { hostAdrress = req.getServerName(); String certStr = getCertificate(req); String sCert = prepareCertificate(certStr); /* Authenticate with a CN */ parseCertificate(sCert); } /* Authenticate if the Login Attribute is a DN */ if (g_userName == null) { throw new Exception("User name not found"); } return g_userName; /** * Passing null since this is a trusted Security agent authentication * See Security API documentation for more information on CSSSecurityAgentIF */ public String getPassword(HttpServletRequest req, HttpServletResponse res) throws Exception { return null; } /** * Get the Certificate sent by the Web Server in the HYPLOGIN header. * If you pass a different header nane from the Web server, change the * name in the method. */ private String getCertificate(HttpServletRequest request) { String cStr = (String)request .getHeader(CSSConfigurationDefaults.HTTP_HEADER_HYPLOGIN); return cStr; } /** * The certificate sent by the Web server is a String. * Put a "\n" in place of whitespace so that the X509Certificate * java API can parse the certificate. */ private String prepareCertificate(String gString) { String str1 = null; String str2 = null; } 136 str1 = gString.replace("-----BEGIN CERTIFICATE-----", ""); str2 = str1.replace("-----END CERTIFICATE-----", ""); String certStrWithNL = "-----BEGIN CERTIFICATE-----" + str2.replace(" ", "\n") + "-----END CERTIFICATE-----"; return certStrWithNL; EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 /** * Parse the certificate * 1. Create X509Certificate using the certificateFactory * 2. Get the Principal object from the certificate * 3. Set the g_userDN to a certificate attribute value (DN in this sample) * 4. Parse the attribute (DN in this sample) to get a unique username */ private void parseCertificate(String sCertificate) throws Exception { X509Certificate cert = null; String userID = null; try { X509Certificate clientCert = (X509Certificate)CertificateFactory .getInstance("X.509") .generateCertificate( new ByteArrayInputStream(sCertificate .getBytes("UTF-8"))); if (clientCert != null) { Principal princDN = clientCert.getSubjectDN(); String dnStr = princDN.getName(); g_userDN = dnStr; int idx = dnStr.indexOf(","); userID = dnStr.substring(3, idx); g_userName = userID; } } catch (CertificateException ce) { throw ce; } catch (UnsupportedEncodingException uee) { throw uee; } } //end of getUserNameFromCert }// end of class カスタム・ログイン・クラスのデプロイ カスタム・ログイン・クラスを実装するには、次の手順を実行します: 1. カスタム・ログイン・クラスを作成およびテストします。コードにlog4jへの参照がないことを確認しま す。 135ページのカスタム・ログイン・クラス・サンプル・コードを参照してください。 カスタム・クラスには任意の名前を使用できます。 2. カスタム・ログイン・クラスをCustomAuth.jarにパッケージします 3. CustomAuth.jarを次のデプロイメントにコピーします: • WebLogic: CustomAuth.jarをEPM_ORACLE_HOME/user_projects/domains/WEBLOGIC_DOMAIN/ lib (通常Oracle/Middleware/user_projects/domains/EPMSystem/lib)にコピーします。 付録B カスタム・ログイン・クラスの実装 137 注: カスタム・ログイン・クラスの実装を含んだリリース11.1.2.0または11.1.2.1からアップグレード している場合、CustomAuth.jarをEPM_ORACLE_HOME/common/jlib/11.1.2.0からEPM_ ORACLE_HOME/user_projects/domains/WEBLOGIC_DOMAIN/libに移動します。 • WebSphere: CustomAuth.jarをEPM_ORACLE_HOME/common/jlib/11.1.2.0 (通常Oracle/ Middleware/common/jlib/11.1.2.0)にコピーします。 カスタム・ログイン・クラスを使用する場合、クライアント証明書認証を有効にすることをお薦めします。 138 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 ユーザー・ディレクトリ全体 のユーザーとグループの移行 C この項の内容: 概要 .................................................................................................................................... 前提条件 .............................................................................................................................. 移行手順 .............................................................................................................................. 個々の製品の更新 ................................................................................................................. 139 139 140 143 概要 多くのシナリオが、プロビジョニングされたEPM Systemユーザーのユーザー・アイデンティティおよびグループ・アイ デンティティを陳腐化させる可能性があります。EPM Systemコンポーネントは、コンポーネントで使用可能なプロビ ジョニング情報が陳腐化すると、アクセスできなくなります。陳腐化したプロビジョニング・データが作成される可能 性のあるシナリオは次のとおりです: • ユーザー・ディレクトリの処分: 組織でユーザーを別のユーザー・ディレクトリに移動した後、元のユーザー・ディレクト リを処分する場合があります。 • バージョンのアップグレード: ユーザー・ディレクトリのバージョンをアップグレードすると、ホスト・マシン名またはオペ レーティング・システム環境の要件が変わる場合があります。 • ベンダーの変更: 組織で別のベンダーのユーザー・ディレクトリを使用することにしたため、元のユーザー・ディレク トリの使用を打ち切る場合があります。たとえば、組織でOracle Internet DirectoryをSunONE Directory Serverに切り替えたとします。 注: この付録では、廃止予定のユーザー・ディレクトリをソース・ユーザー・ディレクトリと呼び、ユーザー・ア カウントの移行先のユーザー・ディレクトリをターゲット・ユーザー・ディレクトリと呼びます。 前提条件 • プロビジョニング・データがユーザー・ディレクトリ間で移行されるEPM Systemユーザーとグループは、ターゲット・ ユーザー・ディレクトリで使用可能である必要があります。 ソース・ユーザー・ディレクトリ内にあるグループ関係は、ターゲット・ユーザー・ディレクトリで保持される必要がありま す。 付録C ユーザー・ディレクトリ全体のユーザーとグループの移行 139 • EPM Systemユーザーのユーザー名は、ソース・ユーザー・ディレクトリとターゲット・ユーザー・ディレクトリで同一で ある必要があります。 移行手順 サブトピック • • • • • ネイティブ・ディレクトリ・データのエクスポート EPM Systemの移行の準備 EPM Systemの再起動 インポート・ファイルの編集 更新されたデータのインポート ネイティブ・ディレクトリ・データのエクスポート Oracle Hyperion Enterprise Performance Management Systemライフサイクル管理を使用して、ネイティ ブ・ディレクトリから次のデータをエクスポートします: • ネイティブ・ディレクトリ・グループ • 割り当てられている役割 • 委任リスト ライフサイクル管理では、通常、EPM_ORACLE_INSTANCE/import_export/USER_NAME/EXPORT_DIR/ resource/Native Directoryに複数のエクスポート・ファイルを作成します(USER_NAMEは、adminなどのエクス ポート操作を行うユーザーのアイデンティティで、EXPORT_DIRは、エクスポート・ディレクトリの名前)。通常、次のファ イルが作成されます: • Groups.csv • Roles.csv • Delegated Lists.csv • デプロイされているアプリケーションごとのAssigned Roles/PROD_NAME.csv (PROD_NAMEは、Shared ServicesなどのEPM Systemコンポーネントの名前)。 注: ライフサイクル管理を使用したデータのエクスポートの詳細な手順については、『Oracle Enterprise Performance Management Systemライフサイクル管理ガイド』を参照してください。 アーティファクトをエクスポートしたら、移行ステータス・レポートで、最後のエクスポート操作のステータスが「完了」と 表示されていることを確認します。 プロビジョニング・データをネイティブ・ディレクトリからエクスポートするには: 1. 2. 140 Shared Services Consoleのビュー・ペインで、「Foundation」アプリケーション・グループ内の「Shared Services」アプリケーションを選択します。 プロビジョニング情報をエクスポートするアーティファクトのタイプを選択します。 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 3. 4. 5. 「エクスポート」をクリックします。 エクスポート・アーカイブの名前を入力します。デフォルトはadmin DATEです(例: admin 13-03-18)。 「エクスポート」をクリックします。 EPM Systemの移行の準備 サブトピック • 外部ユーザー・ディレクトリとしてのターゲット・ユーザー・ディレクトリの追加 • ターゲット・ユーザー・ディレクトリの検索順の変更 外部ユーザー・ディレクトリとしてのターゲット・ユーザー・ディレクトリ の追加 ソース・ユーザー・ディレクトリから別のユーザー・ディレクトリにユーザー・アカウントを移行した場合、EPM System でターゲット・ユーザー・ディレクトリを外部ユーザー・ディレクトリとして追加します。たとえば、Oracle Internet DirectoryからSunONE Directory Serverにユーザー・アカウントを移行した場合、SunONE Directory Server を外部ユーザー・ディレクトリとして追加します。『Oracle Enterprise Performance Management Systemユーザー・セ キュリティ管理ガイド』のユーザー・ディレクトリの構成に関する章を参照してください。 注: データをソース・ユーザー・ディレクトリから移行する、すべてのEPM Systemユーザーのユーザー・ア カウントとグループがターゲット・ユーザー・ディレクトリに含まれていることを確認します。 すでに外部ユーザー・ディレクトリとして定義されているユーザー・ディレクトリにユーザーを移行した場合、ユーザー・ア カウントがShared Servicesからアクセス可能であることを確認します。これは、Shared Services Consoleから ユーザーを検索することで実行できます。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ 管理ガイド』のユーザー、グループ、役割および委任リストの検索に関する項を参照してください。 ターゲット・ユーザー・ディレクトリを外部ユーザー・ディレクトリとして構成する際、「ログイン属性」プロパティが、ソー ス・ユーザー・ディレクトリで元々そのユーザー名の属性値として使用されていた属性を指していることを確認しま す。 139ページの前提条件を参照してください。 ターゲット・ユーザー・ディレクトリの検索順の変更 注: ターゲット・ユーザー・ディレクトリ名がソース・ディレクトリ名と同じ場合、ソース・ユーザー・ディレクト リをEPM System構成から削除する必要があります。 Shared Servicesでは、新たに追加されたユーザー・ディレクトリに、既存のディレクトリに割り当てられている検索 順より低い順序が割り当てられます。ターゲット・ユーザー・ディレクトリの検索順がソース・ユーザー・ディレクトリより 付録C ユーザー・ディレクトリ全体のユーザーとグループの移行 141 も上になるよう検索順を変更します。この順序によって、Oracle Hyperion Shared Servicesがソースを検索す る前にターゲット・ユーザー・ディレクトリでユーザーを検出できるようになります。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のユーザー・ディレクトリの検索順の管理に関する項を参照して ください。 EPM Systemの再起動 Oracle Hyperion Foundation Servicesとその他のEPM Systemコンポーネントを再起動し、変更を反映しま す。 インポート・ファイルの編集 注: EPM System構成のターゲット・ユーザー・ディレクトリ名がソース・ユーザー・ディレクトリ名と同じ 場合、この手順は必要ありません。 ネイティブ・ディレクトリでのデータの再作成には、ライフサイクル管理で作成されたエクスポート・ファイルをソースと して使用します。エクスポート・ファイルは、ネイティブ・ディレクトリからのエクスポート時に、指定されたディレクトリに 生成されます。 140ページのネイティブ・ディレクトリ・データのエクスポートを参照してください。 各エクスポート・ファイルで、ソース・ユーザー・ディレクトリへの参照をすべてターゲット・ユーザー・ディレクトリへの参照 に置き換えます。通常、割り当てられている役割のエクスポート・ファイルを編集します。オプションで次のファイルも 編集します。 • ソース・ユーザー・ディレクトリのユーザーが、ネイティブ・ディレクトリ・グループのメンバーの場合、Groups.csv。 • ソース・ユーザー・ディレクトリのユーザーが委任リストに割り当てられている場合、Delegated Lists.csv。 インポート・ファイルは、EPM_ORACLE_INSTANCE/import_export/USER_NAME/EXPORT_DIR/resource/ Native Directory (USER_NAMEはadminなどの操作を開始したユーザーのアイデンティティ)にあります。 インポート・ファイルを編集するには: 1. 2. 3. 4. 5. エクスポートされたzipアーカイブの中身をフォルダに展開します。 テキスト・エディタを使用して、インポート・ファイルを開きます。 ソース・ユーザー・ディレクトリの名前を、「定義済ユーザー・ディレクトリ」画面の「ディレクトリ名」列に表示されてい るターゲット・ユーザー・ディレクトリの名前に置き換えます。 インポート・ファイルを保存して閉じます。 更新されたインポート・ファイルのアーカイブを作成します。 更新されたデータのインポート 作成/更新オプションを使用してライフサイクル管理を実行し、ネイティブ・ディレクトリからエクスポートしてあった データをインポートします。 140ページのネイティブ・ディレクトリ・データのエクスポートを参照してください。 142 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月 注: Oracle Hyperion Enterprise Performance Management Systemライフサイクル管 理を使用したデータのインポートの詳細な手順については、『Oracle Enterprise Performance Management Systemライフサイクル管理ガイド』を参照してください。 データをインポートしたら、移行ステータス・レポートで、最後のインポート操作のステータスが「完了」と表示されている ことを確認します。 更新されたプロビジョニング・データをネイティブ・ディレクトリにインポートするには: 1. 2. 3. 4. 5. Oracle Hyperion Shared Services Consoleのビュー・ペインで、「ファイル・システム」を展開します。 インポート・ファイルのファイル・システムの場所を選択します。 プロビジョニング情報をインポートするアーティファクトのタイプを選択します。 「インポート」をクリックします。 「OK」をクリックします。 個々の製品の更新 注意 個々の製品を更新する前に、Oracle Enterprise Performance Management Systemコン ポーネントによって使用されているリポジトリのユーザーとグループのデータをバックアップすること をお薦めします。ローカル製品リポジトリの情報を更新した後は、バックアップからのみ、元のローカ ル製品リポジトリのユーザーとグループのデータに戻すことができます。 Planning Planningは、Planningリポジトリでプロビジョニングされたユーザーとグループに関する情報を保管します。ユー ザーとグループをユーザー・ディレクトリ間で移行した結果、ネイティブ・ディレクトリ内のユーザー・アイデンティティが 変更された場合、「ユーザーの移行」/「グループの移行」を選択して、Planningリポジトリの情報と、ネイティブ・ディ レクトリの情報を同期化する必要があります。このボタンは、データ・フォーム、メンバーおよびタスク・リストへのアクセ スを割り当てる場合に、Oracle Hyperion Planningで使用可能です。 Financial Management Financial Managementは、ローカルFinancial Managementリポジトリ内のオブジェクトにアクセスするよう プロビジョニングされたユーザーとグループに関する情報を記録します。ユーザーとグループをユーザー・ディレクトリ 間で移行した結果、ネイティブ・ディレクトリ内のユーザーとグループの情報が変更された場合、Oracle Hyperion Financial Managementリポジトリの情報と、ネイティブ・ディレクトリの情報を同期化する必要があります。 付録C ユーザー・ディレクトリ全体のユーザーとグループの移行 143 Reporting and Analysis Reporting and Analysisでは、syncCSSIdユーティリティを使用して、ネイティブ・ディレクトリ内のアイデンティ ティが反映されるようリレーショナル・データベースに保管されているユーザー・アイデンティティとグループ・アイデ ンティティを同期化します。ユーザーがOracle Hyperion Reporting and Analysisにアクセスできるようにす るには、ネイティブ・ディレクトリのプロビジョニング・データの移行後、このユーティリティを実行する必要があり ます。syncCSSIdユーティリティは、EPM_ORACLE_INSTANCE/bin/ReportingAnalysis/syncCSSIdディレク トリにインストールされています(C:/Oracle/Middleware/user_projects/epmsystem1/bin/Reporting Analysis/syncCSSIdなど)。 syncCSSIdユーティリティの実行の詳細な手順については、EPM_ORACLE_INSTANCE/bin/Reporting Analysis/syncCSSId/ReadmeSyncCSSId_BI.txtを参照してください。 144 EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月