...

EPM Systemの構成

by user

on
Category: Documents
112

views

Report

Comments

Transcript

EPM Systemの構成
Oracle® Enterprise Performance Management
System
Security Configuration Guide
リリース 11.1.2.4
2014 年 5 月
著作権情報
Security Configuration Guide,
Copyright © 2005, Oracle and/or its affiliates. All rights reserved.
著者: EPM 情報開発チーム
OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者
の商標または登録商標です。
Intel、Intel Xeonは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに
使用し、SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロゴ、AMD Opteronロゴ
は、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXは、The Open Groupの登録商標です。
このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する
法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合
を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実
行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは
互換性のために法律によって規定されている場合を除き、禁止されています。
ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見
つけた場合は、オラクル社までご連絡ください。
このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ド
キュメントをライセンスされた者に提供する場合は、次の通知が適用されます。
U.S. GOVERNMENT END USERS:
Oracle programs, including any operating system, integrated software, any programs installed on the
hardware, and/or documentation, delivered to U.S. Government end users are "commercial computer
software" pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental
regulations. As such, use, duplication, disclosure, modification, and adaptation of the programs,
including any operating system, integrated software, any programs installed on the hardware, and/or
documentation, shall be subject to license terms and license restrictions applicable to the programs. No
other rights are granted to the U.S. Government.
このソフトウェアもしくはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。
このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーション
を含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで
使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じること
は使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して
損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。
このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれ
らに関する情報を提供することがあります。オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスに関
して一切の責任を負わず、いかなる保証もいたしません。オラクル社およびその関連会社は、第三者のコンテンツ、製品、
サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。
目次
ドキュメントのアクセシビリティについて ............................................................................................. 7
ドキュメントのフィードバック .............................................................................................................. 8
第1章. EPM Systemセキュリティについて ....................................................................................... 9
EPM Systemについて ............................................................................................................... 9
必要な知識 ............................................................................................................................... 9
セキュリティ・インフラストラクチャのコンポーネント .......................................................................... 10
ユーザー認証 ........................................................................................................................... 10
認証コンポーネント ........................................................................................................... 10
デフォルトのEPM Systemシングル・サインオン ................................................................... 11
アクセス管理システムからのシングル・サインオン .................................................................. 12
プロビジョニング(役割ベースの認証) .......................................................................................... 14
役割 .............................................................................................................................. 15
ユーザー .......................................................................................................................... 15
グループ ......................................................................................................................... 17
Shared Services Consoleの起動 ............................................................................................ 17
第2章. EPM SystemコンポーネントのSSL使用可能化 .................................................................. 19
前提 ......................................................................................................................................
情報ソース ..............................................................................................................................
場所のリファレンス ...................................................................................................................
EPM System製品のSSL使用可能化について ............................................................................
サポートされているSSLシナリオ ..................................................................................................
必須の証明書 .........................................................................................................................
SSLオフローダでのSSL停止 ......................................................................................................
デプロイメント・アーキテクチャ .............................................................................................
前提 ..............................................................................................................................
EPM Systemの構成 .......................................................................................................
デプロイメントのテスト ......................................................................................................
EPM Systemの完全なSSLデプロイメント ...................................................................................
デプロイメント・アーキテクチャ .............................................................................................
前提 ..............................................................................................................................
完全SSL用EPM Systemの構成 .......................................................................................
WebサーバーでのSSLの停止 .....................................................................................................
デプロイメント・アーキテクチャ .............................................................................................
前提 ..............................................................................................................................
EPM Systemの構成 .......................................................................................................
デプロイメントのテスト ......................................................................................................
Financial Reporting Studioの暗号化の有効化 ........................................................................
Essbase用SSL .......................................................................................................................
概要 ..............................................................................................................................
デフォルトのデプロイメント .................................................................................................
必要な証明書とその場所 ..................................................................................................
EssbaseとSSL使用可能なEPM System ...........................................................................
Essbaseコンポーネントのインストールとデプロイ ....................................................................
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4
19
19
20
20
21
21
22
22
23
24
24
25
25
27
29
39
39
40
40
40
40
41
41
41
42
43
44
3
信頼できるサードパーティCA証明書のEssbaseへの使用 ........................................................ 44
セッションごとのSSL接続の確立 ........................................................................................ 49
第3章. セキュリティ・エージェントでのSSOの使用可能 .................................................................. 51
サポートされているSSOメソッド ...................................................................................................
HTTPヘッダー .................................................................................................................
カスタム・ログイン・クラス ..................................................................................................
HTTP認証ヘッダー ..........................................................................................................
HTTP要求からリモート・ユーザーを取得 ................................................................................
Oracle Access Managerからのシングル・サインオン ..................................................................
OracleASシングル・サインオン ..................................................................................................
プロセス・フロー ................................................................................................................
前提条件 ........................................................................................................................
EPM System向けのOSSOの使用可能化 ..........................................................................
SSO用のEPM System製品の保護 ...........................................................................................
保護するリソース ..............................................................................................................
保護しないリソース ...........................................................................................................
SiteMinder SSO ...................................................................................................................
プロセス・フロー ................................................................................................................
注意事項 ........................................................................................................................
前提条件 ........................................................................................................................
SiteMinder Webエージェントの使用可能化 .......................................................................
SiteMinderポリシー・サーバーの構成 ..................................................................................
EPM System Webサーバーに要求を転送するためのSiteMinder Webサーバーの構成 ..............
EPM SystemでSiteMinderを使用可能にする ....................................................................
Kerberosシングル・サインオン ..................................................................................................
概要 ..............................................................................................................................
サポート制約事項 .............................................................................................................
前提 ..............................................................................................................................
WebLogic Serverを使用したKerberos SSO .....................................................................
Kerberos認証をサポートするためのWebLogic Serverでの手順 ............................................
SSO用のEPM Systemの構成 ..................................................................................................
Smart Viewに対するシングル・サインオンのオプション .................................................................
51
52
52
53
53
53
55
55
56
57
61
61
62
65
65
66
66
66
67
68
68
68
68
69
69
70
70
82
83
第4章. ユーザー・ディレクトリの構成 ............................................................................................. 85
EPM Systemセキュリティのユーザー・ディレクトリ ......................................................................... 85
ユーザー・ディレクトリ構成に関連する操作 .................................................................................... 86
Oracle Identity ManagerとEPM System ............................................................................... 86
Active Directoryの情報 ......................................................................................................... 87
DNS検索とホスト名検索 .................................................................................................. 87
グローバル・カタログ ......................................................................................................... 87
OID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成 ........................... 87
リレーショナル・データベースをユーザー・ディレクトリとして構成する .................................................. 100
ユーザー・ディレクトリの接続のテスト .......................................................................................... 103
ユーザー・ディレクトリ設定の編集 .............................................................................................. 103
ユーザー・ディレクトリ構成の削除 .............................................................................................. 104
ユーザー・ディレクトリの検索順の管理 ........................................................................................ 105
4
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
ユーザー・ディレクトリの検索順への追加 .............................................................................
検索順の割当ての除去 ..................................................................................................
検索順の変更 ...............................................................................................................
セキュリティ・オプションの設定 .................................................................................................
暗号化鍵の再生成 .................................................................................................................
特殊文字の使用方法 .............................................................................................................
105
105
106
106
109
110
第5章. カスタム認証モジュールの使用方法 ................................................................................ 113
概要 ....................................................................................................................................
使用事例の例と制限 ..............................................................................................................
前提条件 ..............................................................................................................................
設計およびコーディングに関する考慮事項 ..................................................................................
検索順序 ......................................................................................................................
ユーザー・ディレクトリおよびカスタム認証モジュール .............................................................
CSSCustomAuthenticationIF Javaインタフェース ...........................................................
カスタム認証モジュールのデプロイ ............................................................................................
手順の概要 ..................................................................................................................
Shared Servicesでの設定の更新 ...................................................................................
デプロイメントのテスト ....................................................................................................
113
115
115
115
115
119
120
120
121
121
122
第6章. EPM Systemの保護のガイドライン ................................................................................. 125
SSLの実装 ...........................................................................................................................
管理パスワードの変更 .............................................................................................................
暗号化鍵の再生成 .................................................................................................................
データベース・パスワードの変更 .................................................................................................
Cookieの保護 ......................................................................................................................
SSOトークンのタイムアウトの低減 .............................................................................................
セキュリティ・レポートの確認 .....................................................................................................
認証システムの強力な認証としてのカスタマイズ .........................................................................
Financial Managementの詳細なエラー・メッセージの非表示 ......................................................
UDLファイルの暗号化(Financial Management) .....................................................................
EPM Workspaceのデバッグ・ユーティリティを使用不可にする .....................................................
デフォルトのWebサーバー・エラー・ページの変更 ..........................................................................
サードパーティ製ソフトウェアのサポート .......................................................................................
125
125
125
126
127
127
127
127
128
128
128
129
129
付録A. カスタム認証サンプル・コード .......................................................................................... 131
サンプル・コード1 .................................................................................................................... 131
サンプル・コード2 .................................................................................................................... 132
サンプル・コード2のデータ・ファイル ........................................................................................... 134
付録B. カスタム・ログイン・クラスの実装 ..................................................................................... 135
カスタム・ログイン・クラス・サンプル・コード .................................................................................. 135
カスタム・ログイン・クラスのデプロイ .......................................................................................... 137
付録C. ユーザー・ディレクトリ全体のユーザーとグループの移行 .................................................. 139
概要 .................................................................................................................................... 139
前提条件 .............................................................................................................................. 139
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4
5
移行手順 ..............................................................................................................................
ネイティブ・ディレクトリ・データのエクスポート ......................................................................
EPM Systemの移行の準備 ...........................................................................................
EPM Systemの再起動 ..................................................................................................
インポート・ファイルの編集 ...............................................................................................
更新されたデータのインポート ...........................................................................................
個々の製品の更新 .................................................................................................................
Planning .....................................................................................................................
Financial Management ...............................................................................................
Reporting and Analysis ..............................................................................................
6
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
140
140
141
142
142
142
143
143
143
144
ドキュメントのアクセシビリティについて
Oracleのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWeb サイト http://
www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc を参照してください。
Access to Oracle Support
Oracleサポート・サービスでは、My Oracle Supportを通して電子支援サービスを提供しています。詳細情報
は http://www.oracle.com/pls/topic/lookup?ctx=acc&id=info か、聴覚に障害のあるお客様は http://
www.oracle.com/pls/topic/lookup?ctx=acc&id=trs を参照してください。
ドキュメントのフィードバック
このドキュメントへのフィードバックをお送りください: [email protected]
次のソーシャル・メディア・サイトでEPM情報開発をフォローできます:
LinkedIn - http://www.linkedin.com/groups?gid=3127051&goback=.gmp_3127051
Twitter - http://twitter.com/hyperionepminfo
Facebook - http://www.facebook.com/pages/Hyperion-EPM-Info/102682103112642
Google+ - https://plus.google.com/106915048672979407731/#106915048672979407731/posts
YouTube - http://www.youtube.com/user/OracleEPMWebcasts
1
EPM Systemセキュリティについて
この項の内容:
EPM Systemについて ............................................................................................................... 9
必要な知識 ............................................................................................................................... 9
セキュリティ・インフラストラクチャのコンポーネント .......................................................................... 10
ユーザー認証 ........................................................................................................................... 10
プロビジョニング(役割ベースの認証) .......................................................................................... 14
Shared Services Consoleの起動 ............................................................................................ 17
EPM Systemについて
Oracle Enterprise Performance Management System製品は、財務管理アプリケーションおよびプランニン
グ・アプリケーションのモジュール式スイートと、レポートおよび分析の最も総合的なビジネス・インテリジェンス機能を
統合する、総合的なエンタープライズ・システムを形成できます。EPM System製品の主なコンポーネントは次のと
おりです:
• Oracle Hyperion Foundation Services
• Oracle Essbase
• Oracle Hyperion Financial Management
• Oracle Hyperion Planning
• Oracle Hyperion Reporting and Analysis
各製品ファミリの製品とコンポーネントについては、Oracle Enterprise Performance Management Systemインストー
ル概要を参照してください。
必要な知識
このガイドは、EPM Systemコンポーネントを構成、保護および管理するシステム管理者を対象にしています。前提
条件となる知識は次のとおりです:
• 次のような、所属組織のセキュリティ・インフラストラクチャに関する十分な理解:
○Oracle Internet Directory、Sun Java System Directory ServerおよびMicrosoft Active Directoryな
どのディレクトリ・サーバー
○通信チャネルを保護するSecure Socket Layer (SSL)の使用
○Oracle Access ManagerおよびSiteMinderなどのアクセス管理システム
○Kerberosなどシングル・サインオン(SSO)・インフラストラクチャ
EPM Systemセキュリティについて
9
• 所属組織に関連するEPM Systemセキュリティの概念に関する知識
セキュリティ・インフラストラクチャのコンポーネント
EPM Systemでは、いくつかのセキュリティ・コンポーネントが統合されており、堅牢なアプリケーション・セキュリティ
を保証しています。EPM Systemは、セキュアなインフラストラクチャと統合することにより、データおよびアクセスの
セキュリティを保証する高度なセキュア・アプリケーション・スイートを提供します。EPM Systemの保護に使用できる
インフラストラクチャ・コンポーネントは次のとおりです:
• オプションのアクセス管理システム(EPM SystemコンポーネントにSSOアクセスを提供するOracle Access
Managerなど)
• 統合SSOインフラストラクチャ(Kerberosなど)の使用。
Kerberos認証をアクセス管理システム(SiteMinder)とともに使用すると、Windowsユーザーは、SiteMinderお
よびEPM Systemコンポーネントに透過的にログインできます。
• EPM Systemコンポーネントおよびクライアント間の通信チャネルを保護するSecure Socket Layer (SSL)の使
用
ユーザー認証
ユーザー認証により、各ユーザーのログイン情報を検証することでEPM Systemコンポーネント全体でシングル・サイ
ンオン(SSO)機能が使用可能になり、認証済ユーザーが判別されます。コンポーネント固有の認可とともにユーザー
認証は、EPM Systemコンポーネントへユーザー・アクセスを認めます。権限を付与するプロセスは、プロビジョニン
グと呼ばれます。
認証コンポーネント
次の項では、SSOをサポートするコンポーネントについて説明します。
• 10ページのネイティブ・ディレクトリ
• 11ページの外部ユーザー・ディレクトリ
ネイティブ・ディレクトリ
ネイティブ・ディレクトリとは、Oracle Hyperion Shared Servicesがプロビジョニングのサポート、およびデフォル
ト・ユーザー・アカウントなどのシード・データの保管に使用するリレーショナル・データベースを指します。
ネイティブ・ディレクトリ機能:
• デフォルトのEPM Systemユーザー・アカウントの維持と管理
• 全EPM Systemプロビジョニング情報(ユーザー、グループおよび役割間の関係)の保管
ネイティブ・ディレクトリは、Oracle Hyperion Shared Services Consoleを使用してアクセスおよび管理しま
す。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のネイティブ・ディレクトリ
の管理に関する項を参照してください。
10
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
外部ユーザー・ディレクトリ
ユーザー・ディレクトリとは、EPM Systemコンポーネントと互換性のある、企業ユーザーおよびアイデンティティの管
理システムを指します。
EPM Systemコンポーネントは、Oracle Internet Directory、Sun Java System Directory Server (旧Sun
ONE Directory Server)、Microsoft Active DirectoryなどのLDAPベースのユーザー・ディレクトリを含むいくつ
かのユーザー・ディレクトリでサポートされています。リレーショナル・データベースもユーザー・ディレクトリとしてサポー
トされています。このドキュメントでは、ネイティブ・ディレクトリ以外のユーザー・ディレクトリを外部ユーザー・ディレク
トリと呼びます。サポートされているユーザー・ディレクトリのリストについては、Oracle Enterprise Performance
Management製品 - サポートされるプラットフォームのメトリックを参照してください。
Shared Services Consoleから、多くの外部ユーザー・ディレクトリをEPM Systemユーザーおよびグループのソース
として構成できます。各EPM Systemユーザーは、構成済ユーザー・ディレクトリ内で一意のアカウントを持っている
必要があります。通常、EPM Systemユーザーは、プロビジョニングを促進するためにグループに割り当てられます。
デフォルトのEPM Systemシングル・サインオン
EPM Systemでは、あるアプリケーションの認証済ユーザーは、資格証明を再入力することなく別のアプリケーション
にシームレスに移動でき、EPM System Webアプリケーション全体でSSOがサポートされます。SSOは、ユーザー認
証およびプロビジョニング(役割ベースの認証)を処理する共通のセキュリティ環境をEPM Systemコンポーネント
全体で統合することによって実装されます。
デフォルトのSSOプロセスを次の図に示します。
EPM Systemセキュリティについて
11
1. ユーザーは、ブラウザ経由でEPM Systemコンポーネントのログイン画面にアクセスし、ユーザー名とパスワードを
入力します。
EPM Systemコンポーネントにより、構成済ユーザー・ディレクトリ(ネイティブ・ディレクトリなど)への問合せが行
われ、ユーザー資格証明が確認されます。ユーザー・ディレクトリで一致するユーザー・アカウントが見つかると、検
索は終了し、ユーザー情報がEPM Systemコンポーネントに戻されます。
ユーザー・アカウントがどの構成済ユーザー・ディレクトリにもない場合、アクセスは拒否されます。
2. 取得したユーザー情報を使用して、EPM Systemコンポーネントにより、ネイティブ・ディレクトリへの問合せが行
われ、ユーザーのプロビジョニングの詳細が入手されます。
3. EPM Systemコンポーネントにより、コンポーネントのアクセス制御リスト(ACL)がチェックされ、ユーザーがアク
セスできるアプリケーション・アーティファクトが決定されます。
ネイティブ・ディレクトリからプロビジョニング情報を受け取ると、EPM Systemコンポーネントはユーザーに対して使
用可能になります。この時点で、SSOは、ユーザーがプロビジョニングされているすべてのEPM Systemコンポーネ
ントで使用可能です。
アクセス管理システムからのシングル・サインオン
EPM Systemコンポーネントのセキュリティをさらに強化するには、Oracle Access ManagerまたはSiteMinder
など、サポートされているアクセス管理システムを実装できます。これらの製品では、認証済ユーザー資格証明を
EPM Systemコンポーネントに提供し、事前定義済のアクセス権限に基づいてアクセスを制御できます。
セキュリティ・エージェントからのSSOはEPM System Webアプリケーションでのみ使用可能です。このシナリオで
は、EPM Systemコンポーネントは、セキュリティ・エージェントから提供されるユーザー情報を使用して、ユーザーの
アクセス権限を判別します。セキュリティを強化するには、すべての要求がSSOポータルを経由するように、サーバー
への直接のアクセスをファイアウォールでブロックすることをお薦めします。
アクセス管理システムからのSSOは、条件を満たしたSSOメカニズム経由で認証済のユーザー資格証明を受け入
れることによりサポートされます。 51ページのサポートされているSSOメソッドを参照してください。アクセス管理
システムにより、ユーザーが認証され、ユーザーのログイン名がEPM Systemに渡されます。EPM Systemにより、構
成済のユーザー・ディレクトリに対してログイン名が確認されます。
次のトピックを参照してください。
• 53ページのOracle Access Managerからのシングル・サインオン
• 55ページのOracleASシングル・サインオン
• 65ページのSiteMinder SSO
• 68ページのKerberosシングル・サインオン
概念を図で示します:
12
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
1. ブラウザを使用して、ユーザーはアクセス管理システム(Oracle Access Manager、SiteMinderなど)で保護さ
れているリソースへのアクセスを要求します。
注:
EPM Systemコンポーネントは、アクセス管理システムで保護されているリソースとして定義され
ます。
アクセス管理システムは、要求をインターセプトし、ログイン画面を表示します。ユーザーはユーザー名とパスワード
を入力します。これらは、ユーザーの信頼性を確認するためにアクセス管理システムで構成済ユーザー・ディレクト
リに対して検証されます。EPM Systemコンポーネントは、これらのユーザー・ディレクトリと連動するようにも構成
されています。
認証済ユーザーに関する情報は、EPM Systemコンポーネントに渡され、そのコンポーネントで有効なものとして
受け入れられます。
アクセス管理システムは、条件を満たしたSSOメカニズムを使用して、ユーザーのログイン名(ログイン属性の値)
をEPM Systemコンポーネントに渡します。 51ページのサポートされているSSOメソッドを参照してください。
2. ユーザー資格証明を確認するために、EPM Systemコンポーネントにより、ユーザー・ディレクトリでユーザーの検
索が試みられます。一致するユーザー・アカウントが見つかると、ユーザー情報がEPM Systemコンポーネントに
戻されます。EPM Systemセキュリティにより、EPM Systemコンポーネント全体でSSOを使用可能にするSSO
トークンが設定されます。
3. 取得したユーザー情報を使用して、EPM Systemコンポーネントにより、ネイティブ・ディレクトリへの問合せが行
われ、ユーザーのプロビジョニングの詳細が入手されます。
EPM Systemセキュリティについて
13
ユーザー・プロビジョニング情報を受け取ると、EPM Systemコンポーネントはユーザーに対して使用可能になり
ます。SSOは、ユーザーがプロビジョニングされているすべてのEPM Systemコンポーネントで使用可能です。
プロビジョニング(役割ベースの認証)
EPM Systemセキュリティでは、役割のコンセプトを使用してアプリケーションへのユーザー・アクセスが判別されま
す。役割とは、アプリケーション機能へのユーザー・アクセスを判別する権限です。一部のEPM Systemコンポーネ
ントでは、レポートおよびメンバーなどのアーティファクトへのユーザー・アクセスをさらに詳細に制限するために、オブ
ジェクトレベルのACLが使用されます。
各EPM Systemコンポーネントでは、様々な業務上の必要に対して調整された数個のデフォルトの役割が提供さ
れます。EPM Systemコンポーネントに属する各アプリケーションはこの役割を継承します。Shared Servicesに登
録されたアプリケーションからの事前定義済役割は、Shared Services Consoleから使用可能です。特定の要件
に合うように、デフォルトの役割を集約する追加の役割も作成できます。この役割はプロビジョニングに使用されま
す。EPM Systemアプリケーションおよびそのリソースに属する固有の役割をユーザーおよびグループに付与するプ
ロセスをプロビジョニングと呼びます。
ネイティブ・ディレクトリおよび構成済ユーザー・ディレクトリは、プロビジョニング・プロセス用のユーザーとグループ情
報のソースです。Shared Services Consoleから、すべての構成済ユーザー・ディレクトリのユーザーとグループを参
照およびプロビジョニングできます。また、プロビジョニング・プロセスでは、ネイティブ・ディレクトリで作成されたア
プリケーション固有の集約役割も使用できます。
承認プロセスの概要図:
1. ユーザーが認証されたら、EPM Systemコンポーネントにより、ユーザー・ディレクトリへの問合せが行われ、ユー
ザーのグループが判別されます。
2. EPM Systemコンポーネントにより、グループ情報とユーザー情報を使用して、Shared Servicesからユーザーの
プロビジョニング・データが取得されます。このデータを使用してユーザーがアクセスできるリソースが決定されま
す。
14
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
製品固有のアクセス制御を設定するなどの製品固有のプロビジョニング・タスクは、各製品向けに完成されま
す。このデータは、プロビジョニング・データと組み合されて、ユーザーの製品アクセスを決定します。
EPM System製品の役割ベースのプロビジョニングでは、これらのコンセプトが使用されます。
役割
役割は、EPM Systemリソースで機能を実行するユーザーとグループに許可されるアクセス権限を定義するコンスト
ラクト(アクセス制御リストに類似)です。役割は、リソースまたはリソース・タイプ(レポートなどのユーザーがアクセスで
きるもの)と、ユーザーがリソースで実行できるアクション(表示や編集など)の組合せです。
EPM Systemアプリケーション・リソースへのアクセスは制限されています。アクセスを提供する役割がユーザー、ま
たはユーザーが属するグループに割り当てられてからのみ、ユーザーはこれらのリソースにアクセスできます。役割に
基づいたアクセス制限では、管理者は、アプリケーション・アクセスを制御および管理できます。
グローバルな役割
グローバルな役割、つまり複数の製品に及ぶShared Servicesの役割により、ユーザーはEPM System製品間で特
定のタスクを実行できます。たとえば、Shared Services管理者は、すべてのEPM Systemアプリケーションについ
てユーザーをプロビジョニングできます。
事前定義済役割
事前定義済役割は、EPM System製品における組込みの役割です。これらを削除することはできません。EPM
System製品に属する各アプリケーション・インスタンスは、EPM System製品の事前定義済役割を継承します。各
アプリケーションのこれらの役割は、アプリケーションの作成時にShared Servicesに登録されます。
集約役割
カスタム役割という名でも知られる集約役割では、アプリケーションに属する複数の事前定義済役割が集約されま
す。集約役割には、他の集約役割を含めることができます。たとえば、Shared Services管理者またはプロビジョニ
ング・マネージャは、Planningアプリケーションのプランナと表示ユーザーの役割を組み合せる集約役割を作成でき
ます。役割を集約することにより、複数の細かい役割を持つアプリケーションの管理を簡略化できます。グローバル
Shared Servicesの役割は、集約役割に含めることができます。複数のアプリケーションまたは製品に及ぶ集約役
割は作成できません。
ユーザー
ユーザー・ディレクトリには、EPM System製品にアクセスできるユーザーに関する情報が保管されています。認証お
よび承認プロセスの双方でユーザー情報が使用されます。ネイティブ・ディレクトリ・ユーザーを作成して管理できるの
は、Shared Services Consoleからのみです。
EPM Systemセキュリティについて
15
すべての構成済ユーザー・ディレクトリからのユーザーは、Shared Services Consoleから確認できます。これらの
ユーザーは、Shared Servicesに登録されたEPM Systemアプリケーションでアクセス権を許可するように個別にプ
ロビジョニングできます。個別ユーザーへのプロビジョニングはお薦めしません。
デフォルトのEPM System管理者
管理者アカウント(デフォルト名admin)は、デプロイメント・プロセス中にネイティブ・ディレクトリに作成されます。こ
れは最も強力なEPM Systemアカウントで、EPM Systemセキュリティおよび環境の管理の責任を負う情報テクノ
ロジーの専門家であるシステム管理者の設定にのみ使用される必要があります。
EPM System管理者のユーザー名およびパスワードはFoundation Servicesのデプロイメント中に設定されます。
このアカウントは企業のアカウント・パスワード・ポリシーの対象にできないため、システム管理者アカウントを作成し
た後に非アクティブにすることをお薦めします。
通常、デフォルトのEPM System管理者アカウントは次のタスクを実行するために使用します:
• 企業ディレクトリを外部ユーザー・ディレクトリとして構成します。 85ページの第4章「ユーザー・ディレクトリの構
成」を参照してください。
• 企業の情報テクノロジの専門家にShared Services管理者の役割をプロビジョニングして、システム管理者アカ
ウントを作成します。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のユー
ザーとグループのプロビジョニングに関する項を参照してください。
システム管理者
システム管理者は通常、企業の情報テクノロジの専門家で、EPM Systemデプロイメントに含まれるすべてのサー
バーに対する読取り、書込みおよび実行アクセス権を持っています。
一般に、システム管理者は次のタスクを実行します:
• デフォルトのEPM System管理者アカウントを無効にします。
• 機能の管理者を少なくとも1つ作成します。
• Shared Services Consoleを使用してEPM System用のセキュリティ構成を設定します。
• オプションで、ユーザー・ディレクトリを外部ユーザー・ディレクトリとして構成します。
• ログ分析ツールを定期的に実行してEPM Systemをモニターします。
機能の管理者が実行するタスクは、このガイドに記載されています。
機能の管理者を作成する手順:
• 企業ディレクトリを外部ユーザー・ディレクトリとして構成します。 85ページの第4章「ユーザー・ディレクトリの構
成」を参照してください。
• ユーザーまたはグループに機能の管理者の作成に必要な役割をプロビジョニングします。『Oracle Enterprise
Performance Management Systemユーザー・セキュリティ管理ガイド』のユーザーとグループのプロビジョニングに関
する項を参照してください。
16
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
機能の管理者には、次の役割がプロビジョニングされている必要があります:
○Shared ServicesのLCM管理者の役割
○デプロイされている各EPM Systemコンポーネントの管理者およびプロビジョニング・マネージャの役割
機能の管理者
機能の管理者は、EPM Systemの専門家である企業ユーザーです。通常、このユーザーは外部ユーザー・ディレクトリ
としてShared Servicesに構成されている企業ディレクトリで定義されます。
機能の管理者は、他の機能の管理者の作成、委任された管理の設定、アプリケーションやアーティファクトの作成お
よびプロビジョニング、EPM System監査の設定などのEPM System管理タスクを実行します。機能の管理者が
実行するタスクは、『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』に記載さ
れています。
グループ
グループは、ユーザーまたは他のグループのコンテナです。Shared Services Consoleからネイティブ・ディレクト
リ・グループを作成して、管理できます。すべての構成済ユーザー・ディレクトリからのグループは、Shared Services
Consoleに表示されます。これらのグループをプロビジョニングして、Shared Servicesに登録されたEPM
System製品の権限を許可できます。
Shared Services Consoleの起動
Oracle Hyperion Enterprise Performance Management Workspaceのメニュー・オプションを使用し
て、Shared Services Consoleにアクセスします。
Shared Services Consoleを起動するには:
1.
次に移動します:
http://web_server_name:port_number/workspace
URLの中で、web_server_nameは、Foundation Servicesが使用するWebサーバーが実行されてい
るコンピュータの名前を示し、port_numberは、Webサーバー・ポートを示します。たとえば、http://my
Webserver:19000/workspaceのようになります。
注:
セキュアな環境のEPM Workspaceにアクセスする場合、プロトコルとしてhttps (httpで
はなく)を使用し、セキュアなWebサーバー・ポート番号を使用します。たとえば、https://my
Webserver:19043/workspaceのようなURLを使用します。
2.
「アプリケーションの起動」をクリックします。
EPM Systemセキュリティについて
17
注:
ポップアップ・ブロッカが原因でEPM Workspaceが開かない場合があります。
3.
4.
5.
18
「ログオン」で、ユーザー名とパスワードを入力します。
最初は、Shared Services Consoleへアクセスできる唯一のユーザーは、ユーザー名とパスワードがデプロイメ
ント・プロセス中に指定されたEPM System管理者です。
「ログオン」をクリックします。
「ナビゲート」、次に「管理」、さらに「Shared Services Console」を選択します。
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
2
EPM Systemコンポー
ネントのSSL使用可能化
この項の内容:
前提 ......................................................................................................................................
情報ソース ..............................................................................................................................
場所のリファレンス ...................................................................................................................
EPM System製品のSSL使用可能化について ............................................................................
サポートされているSSLシナリオ ..................................................................................................
必須の証明書 .........................................................................................................................
SSLオフローダでのSSL停止 ......................................................................................................
EPM Systemの完全なSSLデプロイメント ...................................................................................
WebサーバーでのSSLの停止 .....................................................................................................
Financial Reporting Studioの暗号化の有効化 ........................................................................
Essbase用SSL .......................................................................................................................
19
19
20
20
21
21
22
25
39
40
41
前提
• デプロイメント・トポロジを判別し、SSLを使用する保護された通信リンクを識別しています。
• よく知られている証明機関(CA)または独自のCAから必要な証明書を取得しているか、自己署名証明書を作成
しているものとします。 21ページの必須の証明書を参照してください。
• SSLの概念および証明書のインポートなどの手順に精通しています。
参照ドキュメントのリストについては、 19ページの情報ソースを参照してください。
情報ソース
EPM SystemをSSL使用可能にするには、SSLを使用して通信するアプリケーション・サーバー、Webサーバー、デー
タベース、ユーザー・ディレクトリなどのコンポーネントを準備している必要があります。このドキュメントでは、これらの
コンポーネントをSSL使用可能にするタスクに精通していることを前提としています。
• Oracle WebLogic Server: Securing WebLogic Server GuideのSSLの構成に関する説明を参照してください。
• Oracle HTTP Server: 『Oracle HTTP Server管理者ガイド』の次のトピックを参照してください:
○セキュリティの管理に関する説明
○Oracle HTTP ServerのSSLの使用可能化に関する説明
• ユーザー・ディレクトリ: ユーザー・ディレクトリ・ベンダーのドキュメントを参照してください。次のリンクが役に立ちま
す:
EPM SystemコンポーネントのSSL使用可能化
19
○Oracle Internet Directory: 『Oracle Internet Directory管理者ガイド』を参照してください。
○Sun Java System Directory Server: Sun Java System Directory Server Administration
GuideのDirectory Server Securityを参照してください
○Active Directory: 次のドキュメントを参照してください:
# Microsoft Windows Server 2008 Active Directoryのドキュメント
# Microsoft Windows Server 2003 Active Directoryのドキュメント
○Novell eDirectory: Novell eDirectoryのドキュメントを参照してください。
• データベース: データベース・ベンダーのドキュメントを参照してください。
• Internet Information Services: IISへのSSLの実装方法を参照してください。
場所のリファレンス
このドキュメントでは、次のインストールおよびデプロイメントの場所を参照します:
• MIDDLEWARE_HOMEは、WebLogic Serverなどのミドルウェア・コンポーネントの場所、オプションで1つ以上
のEPM_ORACLE_HOMEを参照します。MIDDLEWARE_HOMEは、EPM System製品のインストール中に定義されま
す。デフォルトのMIDDLEWARE_HOMEディレクトリは、Oracle/Middlewareです。
• EPM_ORACLE_HOMEは、EPM System製品をサポートするのに必要なファイルを含むインストール・ディレ
クトリを参照します。EPM_ORACLE_HOMEはMIDDLEWARE_HOME内にあります。デフォルトのEPM_ORACLE_
HOMEはMIDDLEWARE_HOME/EPMSystem11R1で、たとえば、Oracle/Middleware/EPMSystem11R1となります。
EPM System製品は、EPM_ORACLE_HOME/productsディレクトリ(たとえば、Oracle/Middleware/
EPMSystem11R1/products)にインストールされます。
また、EPM System製品の構成中に、一部の製品によってコンポーネントがMIDDLEWARE_HOMEuser_
projects/epmsystem1(たとえば、Oracle/Middleware/user_projects/epmsystem1)にデプロイされま
す。
• EPM_ORACLE_INSTANCEは、一部の製品によってコンポーネントがデプロイされる構成プロセス時に定義され
る場所を表します。EPM_ORACLE_INSTANCEのデフォルトの場所は、MIDDLEWARE_HOME/user_projects/
epmsystem1 (Oracle/Middleware/user_projects/epmsystem1など)です。
EPM System製品のSSL使用可能化について
EPM Systemデプロイメント・プロセスでは、自動的にOracle EPM System製品がSSLモードおよび非SSLモード
の両方で機能するようデプロイメントされます。
EPM Systemの共通設定を指定する場合、デプロイメント内のすべてのサーバー間通信でSSLを使用可能にする
かどうかを指定します。
デプロイメント・プロセス中にSSL設定を選択しても、各自の環境が自動的にSSL用に構成されることはありませ
ん。この操作では、Oracle Hyperion Shared Servicesレジストリでフラグが設定されるだけであり、このフラグ
は、Shared Servicesレジストリを使用するすべてのEPM Systemコンポーネントでサーバー間通信に安全なプロト
コル(HTTPS)を使用する必要があることを示します。各自の環境をSSL使用可能にするには、さらに手順を実行す
る必要があります。このドキュメントでは、このような手順について説明します。
20
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
サポートされているSSLシナリオ
次のSSLシナリオがサポートされています:
• SSLオフローダでのSSL停止。 22ページのSSLオフローダでのSSL停止を参照してください。
• 完全なSSLデプロイメント。 25ページのEPM Systemの完全なSSLデプロイメントを参照してください。
注:
このドキュメントでは、WebLogic Serverを使用してJava Webアプリケーションをホストしている
ことを前提としています。WebSphereを使用している場合、WebSphereアプリケーション・サー
バーおよびIBM HTTP ServerプラグインのSSL使用可能化の詳細は、WebSphereのドキュメ
ントを参照してください。
必須の証明書
SSL通信では、コンポーネント間の信頼の確立に証明書が使用されます。よく知られたサードパーティCAからの証明
書を使用して、本番環境のEPM SystemをSSL使用可能にすることをお薦めします。
注:
EPM Systemでは、1つのSSL証明書で複数のサブドメインをセキュアにできるワイルドカード証
明書の使用をサポートしています。ワイルドカード証明書を使用すると、管理の時間とコストを削減
できます。
ワイルドカード証明書を使用して通信を暗号化している場合、WebLogic Serverでホスト名の確
認を無効化する必要があります。
EPM Systemコンポーネントのホストの各サーバーに次の証明書が必要です:
• ルートCA証明書
注:
ルート証明書がJavaキーストアにすでにインストールされた、よく知られたサードパーティCAからの
証明書を使用している場合、JavaキーストアにルートCA証明書をインストールする必要はありませ
ん。
FirefoxおよびInternet Explorerには、よく知られたサードパーティCAの証明書があらかじめロー
ドされています。CAとして機能するには、これらのブラウザからアクセスされるクライアントで使
用されるキーストアにCAルート証明書をインポートする必要があります。たとえば、CAとして機能
する場合、CAルート証明書がWeb Analysisにアクセスするブラウザで使用できないと、Oracle
Hyperion Web AnalysisクライアントでサーバーとのSSLハンドシェイクを確立できません。
EPM SystemコンポーネントのSSL使用可能化
21
• デプロイメント内の各Oracle HTTP Serverの署名付き証明書
• WebLogic Serverホスト・マシンの署名付き証明書。このマシンの管理対象サーバーも、この証明書を使用でき
ます
• SSLオフローダおよびロード・バランサの2つの証明書。これらの証明書の1つは外部通信用で、もう1つは内部通
信用です
SSLオフローダでのSSL停止
サブトピック
•
•
•
•
デプロイメント・アーキテクチャ
前提
EPM Systemの構成
デプロイメントのテスト
デプロイメント・アーキテクチャ
このシナリオでは、SSLはEPM Systemクライアント(ブラウザなど)とSSLオフローダの間の通信リンクを保護するた
めに使用されます。概念を図で示します:
22
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
前提
サブトピック
• SSLオフローダおよびロード・バランサ
• 仮想ホスト
SSLオフローダおよびロード・バランサ
完全に構成されたSSLオフローダが、ロード・バランサとともにデプロイメント環境に存在している必要があります。
ロード・バランサは、仮想ホストから受信したすべての要求をOracle HTTP Serverに転送するように構成されてい
る必要があります。
EPM SystemコンポーネントのSSL使用可能化
23
仮想ホスト
SSLオフローダで停止するSSLの構成では、SSLオフローダ/ロード・バランサで2つのサーバー別名(たとえば、epm.
myCompany.com、empinternal.myCompany.com)が使用され、1つはオフローダとブラウザの間の外部通信用、も
う1つはEPM Systemサーバー間の内部通信用です。サーバー別名がマシンのIPアドレスを示し、DNSを介して解決
可能であることを確認してください。
オフローダとブラウザ間の外部通信(epm.myCompany.comを使用)をサポートする署名付き証明書が、オフローダ/
ロード・バランサにインストールされている必要があります。
EPM Systemの構成
EPM Systemコンポーネントのデフォルト・デプロイメントは、SSLオフローダでのSSL停止をサポートしています。追
加のアクションは必要ありません。
EPM Systemを構成する際、Webアプリケーションの論理アドレスが、内部通信用に作成された別名(例:
empinternal.myCompany.com)をポイントしていることを確認します。EPM Systemをインストールし、構成するに
は、次の情報ソースを参照してください:
• 『Oracle Enterprise Performance Management Systemインストールおよび構成ガイド』
• Oracle Enterprise Performance Management Systemインストール概要
• Oracle Enterprise Performance Management Systemインストールおよび構成トラブルシューティング・ガイド
デプロイメントのテスト
デプロイメント・プロセスが完了したら、次のセキュアなEPM WorkspaceのURLに接続して、すべてが機能してい
ることを確認します:
https://
virtual_host_external
:
SSL_PORT
/workspace/index.jsp
たとえば、https://epm.myCompany.com:443/workspace/index.jsp(443はSSLポート)などです。
24
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
EPM Systemの完全なSSLデプロイメント
サブトピック
• デプロイメント・アーキテクチャ
• 前提
• 完全SSL用EPM Systemの構成
デプロイメント・アーキテクチャ
完全SSLモードでは、すべてのセキュリティ保護可能なチャンネル間の通信は、SSLを使用して保護されています。こ
のEPM Systemデプロイメント・シナリオは最も安全です。
概念を図で示します:
EPM SystemコンポーネントのSSL使用可能化
25
注:
SSL使用可能にはできないEPM Systemコンポーネントもあります。通常、バックエンド・サー
バー(Oracle Hyperion Strategic Finance Server、Financial Managementサーバーなど)
は、SSL使用可能にはできません。
26
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
前提
サブトピック
• データベース
• EPM System
• SSLオフローダおよびロード・バランサ
データベース
データベース・サーバーおよびクライアントはSSL使用可能です。データベース・サーバーおよびクライアントのSSL使用
可能化の詳細は、データベースのドキュメントを参照してください。
EPM System
WebLogic ServerおよびOracle HTTP Serverを含むEPM Systemコンポーネントがインストールされデプロイさ
れます。さらに、EPM System環境は、すべてが非SSLモードで動作していることがテストされています。次の情報
ソースを参照してください:
• 『Oracle Enterprise Performance Management Systemインストールおよび構成ガイド』
• Oracle Enterprise Performance Management Systemインストール概要
• Oracle Enterprise Performance Management Systemインストールおよび構成トラブルシューティング・ガイド
データベースの接続をSSL使用可能化する場合、構成プロセス中、各データベースの構成画面で「詳細設定オプショ
ン」リンクを選択し、次に示す必須の設定を指定する必要があります:
• 「データベースに対して保護された接続を使用(SSL)」を選択し、安全なデータベースURLを入力します。たとえ
ば、jdbc:oracle:thin:@(DESCRIPTION=(ADDRESS=(PROTOCOL=TCPS)(HOST=myDBhost)(PORT=1529)
(CONNECT_DATA=(SERVICE NAME=myDBhost.myCompany.com)))です。
• 信頼できるキーストア
• 信頼できるキーストア・パスワード
EPM SystemコンポーネントのSSL使用可能化
27
詳細は、『Oracle Enterprise Performance Management Systemインストールおよび構成ガイド』を参照してください。
SSLオフローダおよびロード・バランサ
完全に構成されたSSLオフローダが、ロード・バランサとともにデプロイメント環境に存在している必要があります。
完全SSL構成では、2つのサーバー別名(epm.myCompany.comとempinternal.myCompany.comなど)をSSLオフ
ローダで使用します。1つはオフローダとブラウザ間の外部通信用、もう1つはEPM Systemサーバー間の内部通信
用です。サーバー別名がマシンのIPアドレスを示し、DNSを介して解決可能であることを確認してください。
ロード・バランサは、仮想ホストから受信したすべての要求をOracle HTTP Serverに転送するように構成されてい
る必要があります。
2つの署名付き証明書(1つは、epm.myCompany.comを介したオフローダとブラウザ間の外部通信のサポート用、も
う1つは、empinternal.myCompany.comを介したアプリケーション間の内部通信のサポート用)がオフローダ/ロー
ド・バランサにインストールされている必要があります。サーバー名の公開を防ぎ、セキュリティを強化するために、これ
らの証明書はサーバー別名に結び付けることをお薦めします。
28
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
完全SSL用EPM Systemの構成
サブトピック
•
•
•
•
•
•
•
•
•
EPM Systemの共通設定の再構成
オプション: WebLogic Serverに対するルートCA証明書のインストール
オプション: FDMサーバーに対するルートCA証明書のインストール
WebLogic Serverに対する証明書のインストール
WebLogic Serverの構成
Oracle HTTP Serverに関する手順
サーバーおよびEPM Systemの再起動
デプロイメントのテスト
SSL使用可能な外部ユーザー・ディレクトリの構成
EPM Systemの共通設定の再構成
このプロセス中、EPM Systemコンポーネントに、SSL通信を使用させる設定を選択します。
SSL用にEPM Systemを再構成するには:
1.
2.
Oracle Hyperion Enterprise Performance Management Systemコンフィグレータを起動します。
「構成を適用するEPM Oracleインスタンスを選択してください」で、次の手順を実行します:
a.
3.
「EPM Oracleインスタンス名」で、EPM Systemコンポーネントの最初の構成時に使用したインスタンス
名を入力します。
b. 「次へ」をクリックします。
「構成」画面で、次の手順を実行します:
4.
a. 「すべて選択解除」をクリアします。
b. Hyperion Foundation構成タスクを展開し、「共通設定の構成」を選択します。
c. 「次へ」をクリックします。
「共通設定の構成」で、次の手順を実行します:
注意
電子メール・サーバーとの通信にSSLを使用する設定を選択する前に、電子メール・サーバーがSSL
用に構成されていることを確認します。
EPM SystemコンポーネントのSSL使用可能化
29
a.
5.
6.
「Java Webアプリケーション・サーバー通信にSSLを使用(手動構成が必要)」を選択し、EPM Systemが
通信にSSLを使用する必要があることを指定します。
b. オプション: 「メール・サーバー・ホスト」および「ポート」に情報を入力します。SSL通信をサポートするに
は、SMTPメール・サーバーで使用されるセキュアなポートを指定する必要があります。
c. オプション: SMTPメール・サーバーとのSSL通信をサポートするには、「メール・サーバーとの通信にSSLを使
用」を選択します。
d. 残りのフィールドに、設定を選択または入力します。
e. 「次へ」をクリックします。
後続の「EPM Systemコンフィグレータ」画面で「次へ」をクリックします。
デプロイメント・プロセスが完了すると、「要約」画面が表示されます。「終了」をクリックします。
オプション: WebLogic Serverに対するルートCA証明書のインス
トール
ほとんどのよく知られたサードパーティCAのルートCA証明書は、SunおよびJRockit JVMキーストアにすでインス
トールされています。よく知られたサードパーティCAの証明書を使用してインストールしていない場合、この項の手順
を実行します(非推奨)。デフォルトJVMキーストアの場所:
• Sun JVMキーストア: MIDDLEWARE_HOME/jdk160_35/jre/lib/security/cacerts
• JRockit JVMキーストア: MIDDLEWARE_HOME/jrockit_160_37/jre/lib/security/cacerts
ルートCA証明書をインストールするには:
1.
2.
3.
30
ルートCA証明書をWebLogic Serverがインストールされているマシンのローカル・ディレクトリにコピーします。
コンソールから、ディレクトリをMIDDLEWARE_HOME/jdk160_35/jre/binに変更します。
次のようなkeytoolコマンドを実行して、ルートCA証明書をSun JVMキーストアにインストールします:
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
keytool -import -alias
ALIAS
-file
CA_CERT_FILE
-keystore
KEYSTORE
-storepass
KEYSTORE_PASSWORD
-trustcacerts
たとえば、次のコマンドを使用して現在のディレクトリに格納されている証明書CAcert.crtをキーストア内の証
明書別名としてBlisterを使用してSun JVMキーストアに追加できます。デフォルトのストアパス(changeit)
を仮定します。
keytool -import -alias Blister -file CAcert.crt -keystore ../lib/
security/cacerts -storepass changeit -trustcacerts
注:
前述のコマンドと例では、keytoolを使用した証明書のインポートに構文の一部が使用されます。
インポート構文の完全なリストは、keytoolのドキュメントを参照してください。
4.
次のようなコマンドを実行して、ルートCA証明書をJRockit JVMキーストアにインストールします:
keytool -import -alias
ALIAS
-file
CERT_FILE
-keystore
KEYSTORE
-storepass
KEYSTORE_PASSWORD
-trustcacerts
たとえば、次のコマンドを使用して現在のディレクトリに格納されている証明書CAcert.crtを証明書別名とし
てBlisterを使用してJRockit JVMキーストアに追加できます。デフォルトのストアパス(changeit)を仮定し
ます。
keytool -import -alias Blister -file CAcert.crt -keystore
MIDDLEWARE_HOME
/jrockit_160_37/jre/lib/security/cacerts -storepass changeit -
trustcacerts
注:
MIDDLEWARE_HOMEをディレクトリ・パスに置き換えていることを確認します。
EPM SystemコンポーネントのSSL使用可能化
31
オプション: FDMサーバーに対するルートCA証明書のインストール
Oracle Hyperion Financial Data Quality Managementサーバーが、他のEPM Systemコンポーネントによっ
て使用されるJVMを共有しない場合、ルートCA証明書をインストールします。
FDMサーバーが使用するJVMの場所(例: add key="JvmPath"value="EPM_ORACLE_HOME\common\JRE\Sun
\1.6.0\bin\client\jvm.dll)は、FDM構成フォルダにあるHyperion.Fdm.Api.Common.dll.configに記
録されます。
ルートCA証明書をインストールするには:
1.
2.
3.
ルートCA証明書をWebLogic Serverがインストールされているマシンのローカル・ディレクトリにコピーします。
コンソールから、ディレクトリをMIDDLEWARE_HOME/jdk160_35/jre/binに変更します。
次のようなkeytoolコマンドを実行して、ルートCA証明書をSun JVMキーストアにインストールします:
keytool -import -alias
ALIAS
-file
CA_CERT_FILE
-keystore
KEYSTORE
-storepass
KEYSTORE_PASSWORD
-trustcacerts
たとえば、次のコマンドを使用して、現在のディレクトリに格納されている証明書CAcert.crtを、C:\Oracle
\Middleware\EPMSystem11R1\common\JRE\Sun\1.6.0\lib\security\cacertsにあるSun JVMキー
ストアに追加できます。
keytool -import -file CAcert.crt -trustcacerts -keystore C:\Oracle
\Middleware\EPMSystem11R1\common\JRE\Sun\1.6.0\lib\security\cacerts
注:
前述のコマンドと例では、keytoolを使用した証明書のインポートに構文の一部が使用されます。
インポート構文の完全なリストは、keytoolのドキュメントを参照してください。
WebLogic Serverに対する証明書のインストール
デフォルトのWebLogic Serverインストールでは、SSLをサポートするデモ用の証明書が使用されます。ご使用の
環境を強化するために、よく知られたサードパーティが発行した証明書をインストールすることをお薦めします。
WebLogic Serverのホストとなる各マシンで、ツール(keytoolなど)を使用して、WebLogic ServerおよびEPM
System Webコンポーネントの署名付き証明書を格納するカスタム・キーストアを作成します。
カスタム・キーストアを作成して証明書をインポートするには:
1.
2.
32
コンソールから、ディレクトリをMIDDLEWARE_HOME/jdk160_35/jre/binに変更します。
次のようなkeytoolコマンドを実行して、既存のディレクトリで(コマンドの-keystoreディレクティブで識別され
る)カスタム・キーストアを作成します:
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
keytool -genkey -dname "cn=
myserver
, ou=
EPM
, o=
myCompany
, c=US" -alias
epm_ssl
-keypass
password
-keystore
C:\oracle\Middleware\EPMSystem11R1\ssl\keystore
-storepass
password
-validity 365 -keyalg RSA
注:
設定する共通名(cn)はサーバー名と一致する必要があります。cnに完全修飾ドメイン名(FQDN)
を使用する場合、Webコンポーネントのデプロイの際にFQDNを使用する必要があります。
3.
証明書要求を生成します。
keytool -certreq -alias
epm_ssl
-file
C:/certs/epmssl_csr
-keypass
password
-storetype jks -keystore
C:\oracle\Middleware\EPMSystem11R1\ssl\keystore
-storepass
password
4.
5.
WebLogic Serverマシンの署名付き証明書を取得します。
署名付き証明書をキーストアにインポートします:
keytool -import -alias
epm_ssl
-file
C:/certs/epmssl_crt
-keypass
password
-keystore
C:\Oracle\Middleware\EPMSystem11R1\ssl\keystore
-storepass
password
WebLogic Serverの構成
EPM System Webコンポーネントのデプロイ後、SSL通信用に構成する必要があります。
EPM SystemコンポーネントのSSL使用可能化
33
SSL用にWebコンポーネントを構成するには:
1.
MIDDLEWARE_HOME/user_projects/domains/EPMSystem/binに格納されているファイルを実行し
て、WebLogic Serverを起動します:
• startWebLogic.cmd (Windows)
• startWebLogic.sh (UNIX)
2.
次のURLにアクセスしてWebLogic Server管理コンソールを起動します:
http://
SERVER_NAME:Port
/console
たとえば、myServerのデフォルト・ポートにデプロイされているWebLogic Serverコンソールにアクセスするに
は、http://myServer:7001/consoleを使用する必要があります。
3.
4.
5.
6.
「ようこそ」画面で、EPM Systemコンフィグレータで指定したWebLogic Server管理者のユーザー名とパス
ワードを入力します。
「チェンジ・センター」で、「ロックして編集」をクリックします。
コンソールの左側のペインで、「環境」を展開して、「サーバー」を選択します。
「サーバーのサマリー」画面で、SSL使用可能にするサーバーの名前をクリックします。
たとえば、Foundation ServicesコンポーネントをSSL使用可能にするには、EPMServer0サーバーを使用しま
す。
7.
8.
9.
10.
「リスニング・ポートの有効化」をクリアして、HTTPリスニング・ポートを使用不可にします。
「SSLリスニング・ポートの有効化」が選択されていることを確認します。
「SSLリスニング・ポート」に、このサーバーが要求をリスニングするSSLリスニング・ポートを入力します。
使用するアイデンティティと信頼キーストアを指定するには、「キーストア」を選択し、「キーストア」タブを開きま
す。
11. 「変更」をクリックします。
12. 次のいずれかのオプションを選択します:
• よく知られたサードパーティCAからのサーバー証明書を使用していない場合、「カスタム・アイデンティティと
カスタム信頼」を選択します
• よく知られたサードパーティCAからのサーバー証明書を使用している場合、カスタム・アイデンティティとJava
標準信頼を選択します
13. 「保存」をクリックします。
14. 「カスタム・アイデンティティ・キーストア」で、署名付きWebLogic Server証明書がインストールされているキー
ストアのパスを入力します。
15. 「カスタム・アイデンティティ・キーストアのタイプ」で、jksと入力します。
16. 「カスタム・アイデンティティ・キーストアのパスフレーズ」および「カスタム・アイデンティティ・キーストアのパスフ
レーズを確認」に、キーストアのパスワードを入力します。
17. 「キーストア」で「カスタム・アイデンティティとカスタム信頼」を選択した場合、次を実行します:
a.
「カスタム信頼キーストア」で、サーバー証明書に署名したCAのルート証明書が使用できるカスタム・キース
トアのパスを入力します。
b. 「カスタム信頼キーストアのタイプ」で、jksと入力します。
c. 「カスタム信頼キーストアのパスフレーズ」および「カスタム信頼キーストアのパスフレーズを確認」に、キース
トアのパスワードを入力します。
18. 「保存」をクリックします。
34
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
19. SSL設定を指定します。
a.
b.
c.
「SSL」を選択します。
「秘密鍵の別名」で、署名付きWebLogic Server証明書のインポートの際に指定した別名を入力します。
「秘密鍵のパスフレーズ」および「秘密鍵のパスフレーズを確認」に、秘密鍵の取得に使用するパスワードを
入力します。
d. 「保存」をクリックします。
20. このホストに属している各管理対象サーバーに対して、 34ページのステップ 6から 35ページのステッ
プ 19を実行します。
21. セキュアなレプリケーションを使用可能にして、クラスタのレプリケーション呼出し用のチャネルを提供します。
詳細は、Oracle metalinkのドキュメント1319381.1を参照してください。
a. 管理コンソールで、「環境」を展開し、「クラスタ」を選択します。
b. レプリケーションを選択します。
c. レプリケーションで、セキュアなレプリケーション使用可能を選択(チェック)します。
d. 「保存」をクリックします。
22. 「チェンジ・センター」で、「変更のアクティブ化」をクリックします。
Oracle HTTP Serverに関する手順
サブトピック
• ウォレットの作成およびOracle HTTP Serverの証明書のインストール
• Oracle HTTP ServerのSSL使用可能化
ウォレットの作成およびOracle HTTP Serverの証明書のインストール
デフォルトのウォレットは、Oracle HTTP Serverとともに自動的にインストールされます。デプロイメント内の各
Oracle HTTP Serverに、実際のウォレットを構成する必要があります。
Oracle HTTP Serverの証明書を作成し、インストールするには:
1.
Oracle HTTP Serverのホストとなる各マシンで、Wallet Managerを起動します。
• Windows: 「スタート」、「すべてのプログラム」、「Oracle-OHxxxxxx」、「統合管理ツール」、「Wallet
Manager」を選択します。
xxxxxxはOracle HTTP Serverインスタンス番号です。
• UNIX: MIDDLEWARE_HOME/ohs/bin/owmを実行してWallet Managerをコマンドラインから起動します。
注:
Wallet Managerではグラフィック環境が必要です。
2.
新規で空のウォレットを作成します。
a.
Oracle Wallet Managerで、「ウォレット」、「新規」を選択します。
EPM SystemコンポーネントのSSL使用可能化
35
b.
3.
「はい」をクリックしてデフォルトのウォレット・ディレクトリを作成するか、「いいえ」をクリックして選択した場
所にウォレット・ファイルを作成します。
c. 「新規ウォレット」画面の「ウォレット・パスワード」および「パスワードの確認」に、使用するパスワードを入力し
ます。
d. 「OK」をクリックします。
e. 確認のダイアログ・ボックスで、「いいえ」をクリックします。
オプション: Oracle HTTP Serverにとって既知のCAを使用していない場合、ルートCA証明書をウォレットに
インポートします。
a.
4.
Oracle Wallet Managerで、「信頼できる証明書」を右クリックして「信頼できる証明書のインポート」を選
択します。
b. ルートCA証明書を参照して選択します。
c. 「オープン」を選択します。
証明書要求を作成します。
a.
b.
Oracle Wallet Managerで、「証明書: [空]」を右クリックして「証明書リクエストの追加」を選択します。
証明書要求の作成で、必要な情報を入力します。
共通名について、システムのhostsファイルで使用可能な完全修飾サーバー別名(たとえば、epm.my
Company.comまたはepminternal.myCompany.com)を入力します。
5.
6.
c. 「OK」をクリックします。
d. 確認のダイアログ・ボックスで、「OK」をクリックします。
e. 作成した証明書要求を右クリックして、「証明書リクエストのエクスポート」を選択します。
f. 証明書要求ファイルの名前を指定します。
証明書要求ファイルを使用して、署名付き証明書をCAから取得します。
署名付き証明書をインポートします。
a.
7.
8.
Oracle Wallet Managerで、署名付き証明書の取得に使用した証明書要求を右クリックし、「ユーザー証
明書のインポート」を選択します。
b. 「証明書のインポート」で、「OK」をクリックして証明書をファイルからインポートします。
c. 「証明書のインポート」で、証明書ファイルを選択して「オープン」をクリックします。
ウォレットを便利な場所(EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/
keystores/epmsystemなど)に保存します。
「ウォレット」、「自動ログイン」を選択して自動ログインをアクティブ化します。
Oracle HTTP ServerのSSL使用可能化
Oracle HTTP Serverをホストする各マシンでWebサーバーを再構成した後、作成したウォレットの場所で、デフォ
ルト・ウォレットの場所を置き換え、Oracle HTTP Server構成ファイルを更新します。
SSL用にOracle HTTP Serverを構成するには:
1.
36
デプロイメント内の各Oracle HTTP Serverホスト・マシン上のWebサーバーを再構成します。
a.
b.
このインスタンスのEPM Systemコンフィグレータを開始します。
構成タスクの選択画面で、次の手順を完了し、「次へ」をクリックします。
c.
i. すべて選択解除で、選択をクリアします。
ii. Hyperion Foundationタスク・グループを展開し、「Webサーバーの構成」を選択します。
「Webサーバーの構成」で、「次へ」をクリックします。
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
2.
d. 「確認」で、「次へ」をクリックします。
e. 「要約」で、「終了」をクリックします。
デプロイメント内の各Oracle HTTP Serverの構成設定を更新します。
a.
b.
テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_
component/ssl.confを開きます。
SSLWalletディレクティブを見つけ、その値を、証明書をインストールしたウォレットを示すように変更
します。ウォレットをEPM_ORACLE_INSTANCEhttpConfig/ohs/config/OHS/ohs_component/
keystores/epmsystemに作成した場合、SSLWalletディレクティブは次のようになります:
SSLWallet "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}/
${COMPONENT_NAME}/keystores/epmsystem"
3.
c. ssl.confを保存して閉じます。
デプロイメント内の各Oracle HTTP Serverのmod_wl_ohs.confを更新します。
a.
b.
テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_
component/mod_wl_ohs.confを開きます。
WLSSLWalletディレクティブが、SSL証明書が格納されているOracle Walletを示していることを確認し
ます。
WLSSLWallet
MIDDLEWARE_HOME
/ohs/bin/wallets/myWallet
例: C:/Oracle/Middleware/ohs/bin/wallets/myWallet
c.
mod_wl_ohs.confを保存して閉じます。
サーバーおよびEPM Systemの再起動
デプロイメント内のすべてのサーバーを再起動し、その後各サーバーのEPM Systemを開始します。
デプロイメントのテスト
SSLデプロイメントが完了したら、すべてが機能していることを確認します。
デプロイメントをテストするには:
1.
ブラウザを使用して、次のセキュアなEPM WorkspaceのURLにアクセスします:
外部通信用のサーバー別名にepm.myCompany.comを、SSLポートに4443を使用した場合、EPM Workspace
のURLは次のようになります:
https://epm.myCompany.com:4443/workspace/index.jsp
2.
3.
「ログオン」画面で、ユーザー名とパスワードを入力します。
「ログオン」をクリックします。
EPM SystemコンポーネントのSSL使用可能化
37
4.
デプロイされたEPM Systemコンポーネントにセキュアにアクセスできていることを確認します。
SSL使用可能な外部ユーザー・ディレクトリの構成
サブトピック
• 前提
• ルートCA証明書のインポート
• 外部ユーザー・ディレクトリの構成
前提
• Shared Services Consoleで構成する予定の外部ユーザー・ディレクトリはSSL使用可能です。
• ユーザー・ディレクトリをSSL使用可能にするために、よく知られたサードパーティCAからの証明書を使用しなかっ
た場合、サーバー証明書に署名したCAのルート証明書のコピーがあります。
ルートCA証明書のインポート
ユーザー・ディレクトリをSSL使用可能にするために、よく知られたサードパーティCAからの証明書を使用しなかった
場合、サーバー証明書に署名したCAのルート証明書を次のキーストアにインポートする必要があります:
keytoolなどのツールを使用して、ルートCA証明書をインポートします。
• すべてのEPM Systemサーバー:
○Sun JVMキーストア: MIDDLEWARE_HOME/jdk160_35/jre/lib/security/cacerts
○JRockit JVMキーストア: MIDDLEWARE_HOME/jrockit_160_37/jre/lib/security/cacerts
• 各EPM Systemコンポーネント・ホスト・マシンのJVMに使用されるキーストア。デフォルトでは、EPM Systemコ
ンポーネントは次のキーストアを使用します:
MIDDLEWARE_HOME/jdk160_35/jre/lib/security/cacerts
外部ユーザー・ディレクトリの構成
Shared Services Consoleを使用して、ユーザー・ディレクトリを構成します。ユーザー・ディレクトリの構成時、「SSL
使用可能」オプションを選択し、EPM Systemセキュリティでセキュア・プロトコルを使用してユーザー・ディレクトリ
と通信するよう指定する必要があります。EPM SystemセキュリティとLDAP対応のユーザー・ディレクトリ(Oracle
Internet Directory、Microsoft Active Directoryなど)間の接続でSSL使用可能にすることができます。
『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』のユーザー・ディレクトリの構
成に関する項を参照してください。
38
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
WebサーバーでのSSLの停止
サブトピック
•
•
•
•
デプロイメント・アーキテクチャ
前提
EPM Systemの構成
デプロイメントのテスト
デプロイメント・アーキテクチャ
このシナリオでは、SSLは EPM Systemクライアント(ブラウザなど)とOracle HTTP Serverの間の通信リンクを
保護するために使用されます。概念を図で示します:
EPM SystemコンポーネントのSSL使用可能化
39
前提
この構成では、Webサーバー上で2つのサーバー別名(例: epm.myCompany.comとempinternal.myCompany.
com)を使用します。1つはWebサーバーとブラウザの間の外部通信用、もう1つはEPM Systemサーバー間の内部通
信用です。サーバー別名がマシンのIPアドレスを示し、DNSを介して解決可能であることを確認してください。
ブラウザとの外部通信(例: epm.myCompany.comを使用)をサポートする署名付き証明書が、(セキュアな外部通信
をサポートする仮想ホストが定義されている) Webサーバーにインストールされている必要があります。この仮想ホス
トは、SSLを終了し、Oracle HTTP ServerにHTTP要求を転送する必要があります。
EPM Systemの構成
EPM Systemコンポーネントのデフォルト・デプロイメントは、WebサーバーでのSSL停止をサポートしています。追加
のアクションは必要ありません。
EPM Systemを構成する際、論理Webアプリケーションが、内部通信用に作成された仮想ホスト(例:
empinternal.myCompany.com)をポイントしていることを確認します。EPM Systemをインストールし、構成するに
は、次の情報ソースを参照してください:
• 『Oracle Enterprise Performance Management Systemインストールおよび構成ガイド』
• Oracle Enterprise Performance Management Systemインストール概要
デプロイメントのテスト
デプロイメント・プロセスが完了したら、次のセキュアなEPM WorkspaceのURLに接続して、すべてが機能してい
ることを確認します:
https://virtual_host_external:SSL_PORT/workspace/index.jsp
たとえば、https://epm.myCompany.com:443/workspace/index.jsp(443はSSLポート)などです。
Financial Reporting Studioの暗号化の有効化
暗号化されたRMI通信用のOracle Hyperion Financial Reporting Studioを構成するには、JVMスタート
アップ・パラメータ(UNIXサーバーのシェル・スクリプト・ファイル)またはJVMOption Windowsレジストリ・エントリ
(Windowsサーバー)に次を追加します。
-Djavax.net.ssl.trustStore=
TRUSTSTORE_LOCATION
TRUSTSTORE_LOCATIONを、CAのルート証明書をインストールしたキーストアの絶対的な場所と置き換えます。
Financial Reporting Studioにこのパラメータを追加するレジストリの場所は、次のとおりです:
40
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
• 32ビットWindowsサーバー: HKEY_LOCAL_MACHINE\SOFTWARE\Hyperion Solutions\Hyperion Reports
\HReports\JVM
• 64ビットWindowsサーバー: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Hyperion Solutions
\Hyperion Reports\HReports\JVM
Financial ReportingにJVMパラメータを追加する場所は、HKEY_LOCAL_MACHINE\SOFTWARE\Hyperion
Solutions\FinancialReporting0\HyS9FRReportsです。
JVMパラメータを追加したら、JVMOptionCount DWordを増加させて、追加したパラメータを反映し、サーバー・プロ
セスを再起動します。
Essbase用SSL
サブトピック
•
•
•
•
•
•
•
概要
デフォルトのデプロイメント
必要な証明書とその場所
EssbaseとSSL使用可能なEPM System
Essbaseコンポーネントのインストールとデプロイ
信頼できるサードパーティCA証明書のEssbaseへの使用
セッションごとのSSL接続の確立
概要
Essbaseでは、一方向SSLのみサポートされます。一方向SSLでは、Essbaseインスタンス(サーバーとエージェント)
は証明書を使用してセキュリティ保護されます。
この項では、Essbaseインスタンスとコンポーネント(MaxL、Oracle Essbase Administration Services
サーバー、Oracle Essbase Studioサーバー、Oracle Hyperion Provider Services、Foundation
Services、Planning、Financial ManagementおよびShared Servicesレジストリなど)間の通信の保護に使用
されるデフォルト証明書を置き換える手順を説明します。
デフォルトのデプロイメント
Essbaseは、SSLモードおよび非SSLモードで機能するようデプロイできます。Essbaseエージェントは、セキュアで
ないポートでリスニングしますが、セキュアなポートでリスニングするよう構成することもできます。セキュアなポートに
アクセスするすべての通信はSSL接続として処理されます。クライアントがEssbaseエージェントに非SSLポートで
接続すると、接続は非SSL接続として処理されます。コンポーネントは、Essbaseエージェントに対して非SSL接続と
SSL接続を同時に確立できます。
ログイン時にセキュアなプロトコルとポートを指定することで、セッションごとにSSLを制御できま
す。 49ページのセッションごとのSSL接続の確立を参照してください。
SSLが有効な場合、Essbaseインスタンス内の通信はすべて暗号化され、データのセキュリティが保障されます。
EPM SystemコンポーネントのSSL使用可能化
41
セキュアなモードでのEssbaseコンポーネントのデフォルトのデプロイメントでは、主にテストを目的とする場合は、自
己署名された証明書を使用してSSL通信を有効にしす。本番環境でEssbaseをSSL使用可能にするには、よく知ら
れたサードパーティCAから発行された証明書を使用することをお薦めします。
通常、Oracle Walletに、Essbase RTC (C API)を使用するクライアントとのSSL通信を有効にする証明書が保
管され、Javaキーストアに、通信にJAPIを利用するコンポーネントとのSSL通信を有効にする証明書が保管されま
す。SSL通信を確立するために、Essbaseクライアントとツールは、Essbaseサーバーの証明書に署名したCAのルー
ト証明書を保管します。 42ページの必要な証明書とその場所を参照してください。
必要な証明書とその場所
よく知られたサードパーティCAからの証明書を使用して、本番環境のEssbaseをSSL使用可能にすることをお薦め
します。デフォルトの自己署名付き証明書は、テスト目的で使用します。
注:
Essbaseでは、1つのSSL証明書で複数のサブドメインをセキュアにできるワイルドカード証明書
の使用をサポートしています。ワイルドカード証明書を使用すると、管理の時間とコストを削減でき
ます。
ホスト名チェックが有効な場合、ワイルドカード証明書は使用できません。
42
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
次の証明書が必要です:
• ルートCA証明書。
Essbase RTC (C API)を使用してEssbaseとの接続を確立するコンポーネントの場合、ルートCA証明書を
Oracle Walletに保管する必要があります。JAPIを使用して接続を確立するコンポーネントの場合、ルートCA証
明書をJavaキーストアに保管する必要があります。必要な証明書とその場所を次の表に示します。
注:
ルート証明書がOracle Walletにすでにインストールされた、よく知られたサードパーティCAからの
証明書を使用している場合、ルートCA証明書をインストールする必要はありません。
• EssbaseサーバーとEssbaseエージェント用の署名付き証明書。
表1 必要な証明書とその場所
1
2
コンポーネント
キーストア
証明書
MaxL
Oracle Wallet
ルートCA証明書
Administration Servicesサーバー
Oracle Wallet
ルートCA証明書
Provider Services
Oracle Wallet
ルートCA証明書
EPMシステム・データベース
Oracle Wallet
ルートCA証明書
Essbase Studioサーバー
Javaキーストア
ルートCA証明書
Planning
• Oracle Wallet
ルートCA証明書
• Javaキーストア
Financial Management
Javaキーストア
ルートCA証明書
Essbase (サーバーおよびエージェン
ト)3
• Oracle Wallet
• ルートCA証明書
• Javaキーストア
• Essbaseサーバーとエージェント用
の署名付き証明書
Shared Servicesリポジトリ
1
同様のキーストアを使用する複数のコンポーネントのサポートには、1つのキーストアのインスタンスのみ必要です。
複数のコンポーネントで、キーストアにインストールされているルート証明書を使用できます。
3
証明書は、デフォルトのOracle WalletおよびJavaキーストアにインストールされている必要があります。
2
EssbaseとSSL使用可能なEPM System
SSLを使用してEPM Systemをセキュリティ保護しても、EssbaseはSSL使用可能になりません。
SSL使用可能なEPM SystemにデプロイされているEssbaseインスタンスに影響を及ぼす設定は、Shared
ServicesレジストリにあるJDBC接続設定のみです。EPM System Webコンポーネントが、セキュアなJDBC接続
を使用してFoundation Servicesデータベースと通信するよう構成されている場合、Shared Servicesレジストリに
は、セキュアなJDBC接続文字列が含まれます。このシナリオでは、Essbaseで使用されるルートCA証明書をデータ
ベース・サーバーに手動でインストールします。
EPM SystemコンポーネントのSSL使用可能化
43
データベース・サーバーおよびクライアントのSSL使用可能化の詳細は、データベースのドキュメントを参照してくださ
い。
Essbaseコンポーネントのインストールとデプロイ
構成プロセスで、セキュアなエージェント・ポート(デフォルトは6423)を選択できます。このポートはEssbaseの構成
時に変更できます。デフォルトでは、デプロイメント・プロセスで自己署名された必要な証明書がインストールされ、テ
スト用に機能上セキュアなデプロイメントが作成されます。
Oracle HTTP Serverがインストールされている場合、Oracle Hyperion Enterprise Performance
Management Systemインストーラで、Oracle Walletと自己署名された証明書がEssbaseインスタンスをホス
トするマシンのARBOR_PATH内にインストールされます。単一ホストのデプロイメントでは、この証明書がすべての
Essbaseコンポーネントで共有されます。
信頼できるサードパーティCA証明書のEssbaseへの使用
サブトピック
•
•
•
•
証明書要求の作成と証明書の取得
ルートCA証明書の取得とインストール
署名付き証明書のインストール
デフォルト設定の更新
証明書要求の作成と証明書の取得
証明書要求を生成して、EssbaseサーバーとEssbaseエージェントをホストするサーバー用の証明書を取得します。
証明書要求には、識別名(DN)に固有の暗号化された情報が含まれます。証明書要求を署名機関に送信してSSL
証明書を取得します。
keytoolやOracle Wallet Managerなどのツールを使用して証明書要求を作成します。証明書要求の作成の詳細
は、使用しているツールのドキュメントを参照してください。
keytoolを使用する場合、次のようなコマンド使用して証明書要求を作成します:
keytool -certreq -alias essbase_ssl -file C:/certs/essabse_server_csr -keypass
password -storetype jks -keystore C:\oracle\Middleware\EPMSystem11R1\Essbase_ssl
\keystore -storepass password
ルートCA証明書の取得とインストール
ルートCA証明書は、SSLのサポートに使用される証明書の有効性を確認します。これには、証明書を確認するため
に証明書の署名に使用された秘密鍵を照合する対象の公開鍵が含まれます。SSL証明書に署名した認証局から
ルートCA証明書を取得できます。
Essbaseサーバーまたはエージェントに接続するクライアントに、Essbaseサーバー証明書に署名したCAの
ルート証明書をインストールします。ルート証明書は、必ずクライアントに適したキーストアにインストールしま
す。 42ページの必要な証明書とその場所を参照してください。
44
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
注:
複数のコンポーネントで、サーバー・マシンにインストールされているルートCA証明書を使用できま
す。
Oracle Wallet
Oracle Wallet内にCAルート証明書が必要なコンポーネントのリストは、 43ページの表 1を参照してください。
ウォレットを作成するか、デフォルトの自己署名付き証明書がインストールされているデモ・ウォレットに証明書をイン
ストールします。
ウォレットの作成とルートCA証明書のインポートの詳細な手順については、Oracle Wallet Managerのドキュメント
を参照してください。
Javaキーストア
Javaキーストア内にルートCA証明書が必要なコンポーネントのリストは、 43ページの表 1を参照してください。
デフォルトの自己署名付き証明書がインストールされているキーストアに証明書を追加するか、証明書を保管するた
めのキーストアを新たに作成します。
注:
多くのよく知られたサードパーティCAのルートCA証明書は、Javaキーストアにすでインストールさ
れています。
詳細な手順については、使用しているツールのドキュメントを参照してください。keytoolを使用している場合、次の
ようなコマンドを使用してルート証明書をインポートします:
keytool -import -alias blister_CA -file c:/certs/CA.crt -keypass
password -trustcacerts -keystore C:\Oracle\Middleware\EPMSystem11R1\Essbase_ssl
\keystore -storepass password
署名付き証明書のインストール
EssbaseサーバーとEssbaseエージェントをホストするサーバーに署名付きSSL証明書をインストールしま
す。Essbase RTC (C API)を使用してEssbaseサーバーまたはエージェントとの接続を確立するコンポーネントの
場合、証明書をルートCA証明書とともにOracle Walletに保管する必要があります。JAPIを使用してEssbaseサー
バーまたはエージェントとの接続を確立するコンポーネントの場合、ルートCA証明書と署名付きSSL証明書をJava
キーストアに保管する必要があります。詳細は、次の情報ソースを参照してください:
• Oracle Wallet Managerのドキュメント
• 証明書のインポートに使用するツール(keytoolなど)のドキュメントまたはオンライン・ヘルプ
keytoolを使用する場合、次のようなコマンドを使用して証明書をインポートします:
EPM SystemコンポーネントのSSL使用可能化
45
keytool -import -alias essbase_ssl -file C:/certs/essbase_ssl_crt -keypass
password -keystore
C:\Oracle\Middleware\EPMSystem11R1\Essbase_ssl\keystore -storepass password
デフォルト設定の更新
サブトピック
• EssbaseのSSL設定の更新
• JAPIクライアント用のSSLプロパティのカスタマイズ
• Essbase C APIを使用するコンポーネントに使用可能な暗号スイート
C APIを使用するコンポーネント(Essbaseサーバーとクライアント)のSSL設定は、essbase.cfgに値を指定してカ
スタマイズします。
EssbaseサーバーのSSL設定は、essbase.cfgに値を指定してカスタマイズします。
EssbaseのSSL設定の更新
essbase.cfgを編集して、次のようなEssbaseのSSL設定をカスタマイズします:
• セキュア・モードを有効にする設定
• クリア・モードを有効にする設定
• クライアントとの通信で優先されるモード(クライアントでのみ使用)
• セキュアなポート
• 暗号スイート
• Oracle Walletのパス
essbase.cfgを更新するには:
1.
2.
テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/EssbaseServer/essbaseserver1/bin/
essbase.cfgを開きます。
必要に応じて設定を入力します。デフォルトのEssbase設定は暗黙的です。デフォルトの動作を変更する必
要がある場合、essbase.cfg内のカスタム動作の設定を追加します。たとえば、デフォルトでEnableClear
Modeが適用され、それにより、Essbaseサーバーは、暗号化されていないチャネルで通信することが有効化
されます。Essbaseサーバーの、暗号化されていないチャネルで通信する機能をオフにするには、essbase.
cfgでEnableClearMode FALSEを指定する必要があります。 46ページの表 2を参照してください。
表2 EssbaseのSSL設定
設定
EnableClearMode
説明
2
1
EssbaseアプリケーションとEssbaseエージェントとの間で
暗号化されていない通信を有効にします。このプロパティ
がFALSEに設定されている場合、EssbaseはSSL要求を処
理できません。
デフォルト: EnableClearMode TRUE
例: EnableClearMode FALSE
46
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
1
設定
説明
EnableSecureMode
EssbaseクライアントとEssbaseエージェントとの間でSSL
暗号化通信を有効にします。SSLをサポートするには、この
プロパティをTRUEに設定する必要があります。
デフォルト: FALSE
例: EnableSecureMode TRUE
SSL通信で使用される暗号スイートの優先順のリス
ト。 49ページのEssbase C APIを使用するコン
SSLCipherSuites
ポーネントに使用可能な暗号スイートを参照してくださ
い。Essbaseエージェントで、これらの暗号スイートの1つが
SSL通信に使用されます。エージェントが暗号スイートを選
択する際、リスト内の最初の暗号スイートに最も高い優先
度が適用されます。
デフォルト: SSL_RSA_WITH_RC4_128_MD5
例: SSLCipherSuites SSL_RSA_WITH_AES_256_CBC_
SHA, SSL_RSA_WITH_DES_CBC_SHA
エージェントがリスニングするセキュアなポート。
AgentSecurePort
デフォルト: 6423
例: AgentSecurePort 16001
ルートCA証明書と署名付き証明書を保管するOracle
Walletの場所(1,024文字未満)。
WalletPath
デフォルト: ARBORPATH/bin/wallet
例: WalletPath/usr/local/wallet
ClientPreferredMode
3
クライアント・セッションのモード(セキュアまたはクリア)。こ
のプロパティがSecureに設定されている場合、SSLモード
がすべてのセッションに使用されます。
このプロパティがClearに設定されている場合、クライアン
ト・ログイン要求にセキュアなトランスポート・キーワードが含
まれているかどうかに基づいてトランスポートが選択されま
す。 49ページのセッションごとのSSL接続の確立を参
照してください。
デフォルト: CLEAR
例: ClientPreferredMode SECURE
1
essbase.cfgにプロパティがない場合、デフォルト値が適用されます。
2
EnableClearModeとEnableSecureModeがFALSEに設定されると、Essbaseは操作不能になります。
3
クライアントはこの設定を使用して、Essbaseでセキュアな通信を確立するかセキュアでない通信を確立するかを決定します。
3.
essbase.cfgを保存して閉じます。
EPM SystemコンポーネントのSSL使用可能化
47
JAPIクライアント用のSSLプロパティのカスタマイズ
JAPIに依存するEssbaseコンポーネントに対して、いくつかのデフォルト・プロパティが事前定義されま
す。essbase.propertiesにプロパティを含めることによって、デフォルト・プロパティをオーバーライドできます。
注:
48ページの表 3で特定される数個のSSLプロパティのみが、essbase.propertiesで外部
化されます。外部化されないプロパティを追加する必要があります。
JAPIクライアントのSSLプロパティを更新するには:
1.
2.
テキスト・エディタを使用して、EPM_ORACLE_HOME/common/EssbaseJavaAPI/11.1.2.0/bin/essbase.
propertiesを開きます。
必要に応じてプロパティを更新します。カスタマイズ可能なJAPIクライアントのプロパティの詳細
は、 48ページの表 3を参照してください。
目的のプロパティがessbase.propertiesに含まれていない場合、そのプロパティを追加します。
表3 JAPIクライアントのデフォルトSSLプロパティ
プロパティ
説明
olap.server.ssl.alwaysSecure
すべてのEssbaseインスタンスに対してクライアントで使
用されるモードを設定します。このプロパティ値をtrueに設
定すると、SSLモードが適用されます。
デフォルト: false
olap.server.ssl.securityHandler
プロトコルの処理用パッケージ名。この値を変更して別の
ハンドラを指定できます。
デフォルト: java.protocol.handler.pkgs
olap.server.ssl.securityProvider
OracleではSun SSLプロトコル実装が使用されます。この
値を変更すると、別のプロバイダを指定できます。
デフォルト: com.sun.net.ssl.internal.www.
protocol
olap.server.ssl.supportedCiphers
セキュアな通信用に有効化される追加の暗号のカンマ区
切りリスト。Essbaseでサポートされる暗号のみを指定する
必要があります。 49ページのEssbase C APIを使用
するコンポーネントに使用可能な暗号スイートを参照してく
ださい。
例: SSL_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_
WITH_AES_128_CBC_SHA
olap.server.ssl.trustManagerClass
署名の確認と証明書の有効期限のチェックによるSSL証
明書の検証に使用するTrustManagerクラス。
デフォルトでは、すべての検証チェックを実施するようには
このプロパティは設定されません。
48
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
プロパティ
説明
誤りチェックが実施されないようにするには、このパラメー
タの値をcom.essbase.services.olap.security.
EssDefaultTrustManagerに設定します。これは、すべて
の検証チェックを成功とするデフォルトのTrustManager
クラスです。
カスタムTrustManagerを実装するには、javax.net.
ssl.X509TrustManagerインタフェースを実装するTrust
Managerクラスの完全修飾クラス名を指定します。
例:com.essbase.services.olap.security.Ess
DefaultTrustManager
3.
4.
essbase.propertiesを保存して閉じます。
すべてのEssbaseコンポーネントを再起動します。
Essbase C APIを使用するコンポーネントに使用可能な暗号スイート
次の暗号スイートが、EssbaseサーバーのSSL実装でサポートされます。
• SSL_RSA_WITH_AES_256_CBC_SHA
• SSL_RSA_WITH_AES_128_CBC_SHA
• SSL_RSA_WITH_3DES_EDE_CBC_SHA
• SSL_RSA_WITH_DES_CBC_SHA
• SSL_RSA_WITH_RC4_128_SHA
• SSL_RSA_WITH_RC4_128_MD5
セッションごとのSSL接続の確立
MaxLなどのEssbaseコンポーネントでは、トランスポート・キーワードとしてsecureを使用してEssbaseエージェント
に接続すると、セッション・レベルでSSLを制御できます。たとえば、次のいずれかのコマンドをMaxL Consoleから
実行すると、MaxLとEssbaseエージェントとの間にセキュアな接続を確立できます。
login admin welcome1 on hostA:
PORT
:secure
login admin welcome1 on hostA:secure
セッションごとの制御は、essbase.cfgに指定された構成設定より優先されます。トランスポート・キーワードが指定
されていない場合、Essbaseクライアントでは、ClientPreferredModeに設定された値を使用して、Essbaseとの
セキュアな接続を開始するかどうかを決定します。ClientPreferredMode設定がsecureに設定されていない場
合、通信は非セキュアなチャネルで行われます。
EPM SystemコンポーネントのSSL使用可能化
49
50
セキュリティ・エージェン
トでのSSOの使用可能
3
この項の内容:
サポートされているSSOメソッド ...................................................................................................
Oracle Access Managerからのシングル・サインオン ..................................................................
OracleASシングル・サインオン ..................................................................................................
SSO用のEPM System製品の保護 ...........................................................................................
SiteMinder SSO ...................................................................................................................
Kerberosシングル・サインオン ..................................................................................................
SSO用のEPM Systemの構成 ..................................................................................................
Smart Viewに対するシングル・サインオンのオプション .................................................................
51
53
55
61
65
68
82
83
サポートされているSSOメソッド
サブトピック
•
•
•
•
HTTPヘッダー
カスタム・ログイン・クラス
HTTP認証ヘッダー
HTTP要求からリモート・ユーザーを取得
SSOでは、Webアイデンティティ管理ソリューションで、認証済ユーザーのログイン名がEPM System製品に渡され
る必要があります。次の標準的なEPM Systemの方法を使用して、EPM Systemと市販あるいはカスタムのWeb
ベースのSSOソリューションを統合できます。
• 52ページのHTTPヘッダー
• 52ページのカスタム・ログイン・クラス
• 53ページのHTTP認証ヘッダー
• 53ページのHTTP要求からリモート・ユーザーを取得
注意
セキュリティ対策として、組織でアイデンティティ伝播用のヘッダーにユーザー・アイデンティティを
持つメソッドを使用する場合、Webサーバーとアプリケーション・サーバー間でクライアント証明書認
証(双方向SSL)を実装することをお薦めします。
セキュリティ・エージェントでのSSOの使用可能
51
HTTPヘッダー
Oracle Single Sign-on (OSSO)、SiteMinderまたはOracle Access ManagerをWebアイデンティティ管理ソ
リューションとして使用中の場合、EPM Systemセキュリティでは自動的にカスタムHTTPヘッダーを選択して、認証
済ユーザーのログイン名をEPM Systemコンポーネントに渡します。
EPM System製品ユーザーのログイン名は、Shared Servicesでユーザー・ディレクトリを構成する際に指定され
るログイン属性によって決定されます。ログイン属性の簡単な説明については、『Oracle Enterprise Performance
Management Systemユーザー・セキュリティ管理ガイド』のOID、Active Directoryおよびその他のLDAPベースのユー
ザー・ディレクトリの構成に関する項を参照してください。
HTTPヘッダーには、ログイン属性として設定される属性の値が含まれている必要があります。たとえば、uidがログイ
ン属性値である場合、HTTPヘッダーは、uid属性の値を持っている必要があります。
カスタムHTTPヘッダーの定義および発行の詳細は、Webアイデンティティ管理ソリューションのドキュメントを参照
してください。
EPM Systemセキュリティにより、HTTPヘッダーが分析され、Shared Servicesで構成されたユーザー・ディレクトリ
に対して持っているログイン名が検証されます。
カスタム・ログイン・クラス
ユーザーがログインすると、Webアイデンティティ管理ソリューションでは、ユーザーがディレクトリ・サーバーに対して認
証され、SSOメカニズムで認証済ユーザーの資格証明がカプセル化されて、下流のシステムでSSOが使用可能に
なります。Webアイデンティティ管理ソリューションで、EPM System製品によってサポートされないメカニズムが使
用されるか、ログイン属性の値がSSOメカニズムで使用できない場合、カスタム・ログイン・クラスを使用し、ログイン属
性の値を導いてEPM System製品に渡すことができます。
カスタム・ログイン・クラスを使用することによって、X509証明書ベースの認証を使用するセキュリティ・エージェン
トとEPM Systemを統合できます。この認証メカニズムを使用するには、EPM Systemコンポーネント間のSSOイ
ンタフェースを定義するための標準Shared Services APIの実装と、Webアイデンティティ管理ソリューションが必
要です。カスタム・ログイン・クラスでは、ログイン属性の値がEPM System製品に渡される必要があります。ログイン
属性の簡単な説明については、『Oracle Enterprise Performance Management Systemユーザー・セキュリティ管理ガイ
ド』のOID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成に関する項を参照してく
ださい。サンプル・コードおよび実装手順については、 135ページの付録B「カスタム・ログイン・クラスの実装」を
参照してください。
カスタム・ログイン・クラス(デフォルト名com.hyperion.css.sso.agent.X509CertificateSecurityAgent
Impl)を使用するには、com.hyperion.css.CSSSecurityAgentIFインタフェースの実装をこのクラスパスで使
用できる必要があります。CSSSecurityAgentIFでは、ユーザー名とパスワードを取得するゲッター・メソッドが定義さ
れます(オプション)。インタフェースでnullのパスワードが戻される場合、セキュリティ認証ではプロバイダが信頼済
として扱われ、構成済プロバイダにおけるユーザーの存在が確認されます。インタフェースでパスワードのnull以外の
値が戻される場合、EPM Systemでは、この実装により戻されるユーザー名とパスワードを使用して要求の認証が試
みられます。
CSSSecurityAgentIFは、getUserNameとgetPasswordの2つのメソッドから構成されています。
52
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
getUserNameメソッド
このメソッドでは、認証用のユーザー名が戻されます。
java.lang.String getUserName(
javax.servlet.http.HttpServletRequest req,
javax.servlet.http.HttpServletResponse res)
throws java.lang.Exception
reqパラメータでは、ユーザー名を判別するために使用される情報を持つHTTP要求が識別されます。resパラメータ
は使用されません(下位互換性にプリセット)。
getPasswordメソッド
このメソッドでは、認証用のクリアテキストのパスワードが戻されます。パスワードの取得はオプションです。
java.lang.String getPassword(
javax.servlet.http.HttpServletRequest req,
javax.servlet.http.HttpServletResponse res)
throws java.lang.Exception
reqパラメータでは、パスワードを判別するために使用される情報を持つHTTP要求が識別されます。resパラメータ
は使用されません(下位互換性にプリセット)。
HTTP認証ヘッダー
EPM SystemセキュリティはHTTP認証ヘッダーの使用をサポートし、ログイン属性の値をWebアイデンティティ管理
ソリューションからEPM System製品に渡します。EPM System製品は、認証ヘッダーを分析して、ユーザーのログイ
ン名を取得します。
HTTP要求からリモート・ユーザーを取得
EPM SystemセキュリティはHTTP要求の使用をサポートし、ログイン属性の値をWebアイデンティティ管理ソリュー
ションからEPM System製品に渡します。Webアイデンティティ管理ソリューションがログイン属性(setRemote
User関数を使用して設定される)の値を含むHTTP要求を渡す場合、このSSOメソッドを使用します。
Oracle Access Managerからのシングル・サインオン
EPM Systemは、ログイン属性値を含むカスタムHTTPヘッダー(デフォルト名はHYPLOGIN)を受け入れることで
Oracle Access Managerと統合されます。ログイン属性は、Shared Servicesで外部ユーザー・ディレクトリを構
成する際に設定されます。ログイン属性の簡単な説明については、『Oracle Enterprise Performance Management
Systemユーザー・セキュリティ管理ガイド』のOID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクト
リの構成に関する項を参照してください。
セキュリティ・エージェントでのSSOの使用可能
53
EPM Systemにログイン属性を提供する任意のヘッダー名を使用できます。ヘッダー名は、Oracle Access
ManagerからのSSO用にShared Servicesを構成する際に使用します。
EPM Systemは、ログイン属性の値を使用して、構成されているユーザー・ディレクトリ(この場合は、Oracle
Access Managerがユーザーの認証に使用するユーザー・ディレクトリ)に対してユーザーを認証し、EPM System全
体でSSOを有効にするEPM SSOトークンを生成します。ユーザーのプロビジョニング情報がネイティブ・ディレクトリ
で確認され、ユーザーにEPM Systemリソースが許可されます。
注:
シック・クライアントであるAdministration Servicesコンソールは、Oracle Access Managerか
らのSSOをサポートしていません。
Oracle Access Managerの構成およびHTTPヘッダーおよびポリシー・ドメインの設定などのタスクの実行に関す
る情報は、Oracle Access Managerのドキュメントに記載されています。このガイドは、次のタスクが完了し、機能
しているOracle Access Managerのデプロイメントを想定しています。
• EPM Systemコンポーネントに必要なポリシー・ドメインの設定
• ログイン属性値をEPM Systemに渡すHTTPヘッダーの構成
Oracle Access Manager 11gをWeb Analysisとともに使用している場合、次のようにチャレンジ・パラメータを
設定することにより、認証スキーム(デフォルトではLDAPScheme)のhttpOnly SSO cookie機能を無効にします:
ssoCookie=disablehttponly
• 61ページの保護するリソースにリストされたEPM Systemリソースの保護。保護されたリソースへのアクセス
要求はOracle Access Managerによって処理されます。
• 62ページの保護しないリソースにリストされたEPM Systemリソースの保護解除。保護されないリソースへの
アクセス要求はOracle Access Managerによって処理されません。
EPM SystemにOracle Access ManagerからのSSOを構成するには:
1.
Oracle Access ManagerがEPM Systemで外部ユーザー・ディレクトリとしてユーザーを認証するために使用
するユーザー・ディレクトリを追加します。『Oracle Enterprise Performance Management Systemユーザー・セキュ
リティ管理ガイド』のOID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成に関す
る項を参照してください。
注:
「接続情報」画面で、ユーザー・ディレクトリが信頼できるSSOソースであることを示す「信頼
済」チェック・ボックスが選択されていることを確認します。
2.
EPM SystemにSSOを構成します。 82ページのSSO用のEPM Systemの構成を参照してください。
「SSOプロバイダ/エージェント」リストから、Oracle Access Managerを選択します。Oracle Access
ManagerからのHTTPヘッダーでHYPLOGIN以外の名前を使用する場合、「SSOメカニズム」リストの隣にある
テキスト・ボックスにカスタム・ヘッダーの名前を入力します。
54
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
3.
Oracle Data Relationship Managementのみ:
a.
b.
Shared Servicesの認証にData Relationship Managementを構成します。
Data Relationship ManagementコンソールでSSOを使用可能にします。
詳細は、Data Relationship Managementのドキュメントを参照してください。
OracleASシングル・サインオン
OracleAS Single Sign-on (OSSO)ソリューションでは、Oracle Internet Directory (OID)をユーザー・ディレクト
リとして使用して、WebアプリケーションへのSSOアクセスを提供します。ユーザーは、OIDで定義されたユーザー名と
パスワードを使用して、EPM System製品にログインします。
プロセス・フロー
OSSOプロセス:
1. EPM System URL(http://OSSO_OHS_Server_NAME:OSSO_OHS_Server_PORT/interop/index.jspな
ど)を使用して、OSSOで保護されたアプリケーションとして定義されるEPM Systemコンポーネントにアクセスし
ます。
2. URLがOSSOで保護されているため、Oracle HTTP Serverにデプロイされたmod_ossoは要求をインターセプ
トします。mod_ossoを使用して、Oracle HTTP Serverは有効なcookieを確認します。有効なcookieが要求で
セキュリティ・エージェントでのSSOの使用可能
55
使用不可能な場合、Oracle HTTP Serverは、OIDに対して認証される資格証明を要求するOSSOサーバーに
ユーザーをリダイレクトします。
3. OSSOサーバーはobSSOCookieを作成し、ブラウザにobSSOCookieを設定するOracle HTTP Server上
のmod_ossoモジュールに制御を返します。また、mod_wl_ohs(WebLogic Server)またはmod_proxy(IIS
Server)を介して、EPM Systemリソースに要求をリダイレクトします。EPM Systemリソースに要求を転送する
前に、Oracle HTTP Serverは、EPM SystemセキュリティでSSOを使用可能にするのに使用するプロキシ・リ
モート・ユーザー・ヘッダーを設定します。
4. EPM Systemコンポーネントは、プロキシ・リモート・ユーザーからアイデンティティを取得するユーザーがOIDに存
在することを確認します。このプロセスが機能するには、OSSOサーバーを使用して構成されるOIDをShared
Servicesの外部ユーザー・ディレクトリとして構成する必要があります。
前提条件
1. 完全な機能のOracle Application Serverインフラストラクチャ。
Oracle Application Serverインフラストラクチャを確立するには、Oracle Identity Management
Infrastructure 10.1.4をインストールおよび構成します。OSSOが使用可能であることを確認します。Oracle
Identity Management Infrastructure 10.1.4をインストールすると、次のコンポーネントが含まれ、OSSOを
サポートします。
• Oracle 10g OSSO Server。
• OSSOサーバーで資格証明を検証するのに使用するOID。次のガイドを参照してください:
○Oracle Fusion Middleware Oracle Identity Managementインストレーション・ガイド
○Oracle Fusion Middleware Oracle Internet Directory管理者ガイド
• OSSOサーバーへのフロントエンドとしてのOracle HTTP Server。このインストールには、OSSOのパートナ・
アプリケーションを定義できるmod_ossoが含まれます。
注:
このOracle HTTP Serverインスタンスは、OSSOインフラストラクチャの一部です; EPM
SystemコンポーネントのOSSOの構成に直接は使用されません。
インストール・プロセス中に、mod_ossoがパートナ・アプリケーションとしてOSSOサーバーに登録されているこ
とを確認します。
2. 完全な機能のEPM Systemデプロイメント。
EPM SystemコンポーネントにWebサーバーを構成する場合、EPM SystemコンフィグレータはOracle HTTP
Serverに次を構成し、要求をアプリケーション・サーバーにプロキシします:
• WebLogic Serverに要求をプロキシするmod_wl_ohs.conf
• IIS Serverに要求をプロキシするmod_proxy
56
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
EPM System向けのOSSOの使用可能化
サブトピック
•
•
•
•
•
•
•
•
パートナ・アプリケーションとしてのEPM System Webサーバーの登録
オプション: 仮想ホストの定義
mod_osso.confの作成
osso.confの再配置
Reporting and Analysisのキャッシュ管理構成の追加
OSSO用EPM Systemの構成
オプション: OSSOサーバー上のデバッグ・メッセージの使用可能化
オプション: 保護されたリソースのデバッグ・メッセージの使用可能化
このセクションでは、完全に構成されたOSSOインフラストラクチャがあることを前提としています。『Oracle
Application Server管理者ガイド』を参照してください。
パートナ・アプリケーションとしてのEPM System Webサーバーの登
録
Oracle Identity ManagerのSSO登録ツール(ssoreg.shまたはssoreg.bat)を使用して、OSSOサーバーをフロ
ントエンドするOracle HTTP Serverのパートナ・アプリケーションとして、EPM System Webサーバーを登録しま
す。
OSSOサーバーをフロントエンドするOracle HTTP Serverのホストとなるサーバー上で、この手順を実行します。こ
のプロセスでは、選択した場所に難読化されたosso.confを生成および格納します。
パートナ・アプリケーションとしてEPM System Webサーバーを登録するには:
1.
2.
OSSOサーバーをフロントエンドするOracle HTTP Serverのホストとなるサーバー上のコンソールを開
き、Oracle HTTP ServerのORACLE_HOME/sso/binディレクトリ(Windowsの場合、C:/OraHome_1/sso/
binなど)に移動します。
-remote_midtierオプションで次のようなコマンドを実行します:
ssoreg.bat -site_name epm.myCompany.com
-mod_osso_url http://epm.myCompany.com:19400
-config_mod_osso TRUE
-update_mode CREATE
-remote_midtier
-config_file C:\OraHome_1\myFiles\osso.conf
次に、このコマンドで使用されるパラメータについて説明します。この説明では、パラメータ・アプリケーション
は、EPM System Webサーバーとして使用されるOracle HTTP Serverを参照します。
• -site_nameは、パートナ・アプリケーションのWebサイト(epm.myCompany.comなど)を識別します。
• -mod_osso_urlは、パートナ・アプリケーションのURLをPROTOCOL://HOST_NAME:PORT形式で示しま
す。これは、EPM System Webサーバーが受信クライアント要求を受け入れるURL(http://epm.my
Company.com:19000など)です。
• -config_mod_ossoは、パートナ・アプリケーションでmod_ossoを使用することを示します。config_mod_
ossoパラメータを含めてosso.confを生成する必要があります。
セキュリティ・エージェントでのSSOの使用可能
57
• -update_modeは、更新モードを示します。デフォルトのCREATEを使用して、新規レコードを生成します。
• -remote_midtierは、mod_ossoパートナ・アプリケーションが離れた中間層にあることを示します。パートナ・
アプリケーションがOSSOサーバーとは異なるORACLE_HOMEにある場合に、このオプションを使用します。
• -virtualhostは、パートナ・アプリケーションのURLが仮想ホストであることを示します。仮想ホストを使用
していない場合は、このパラメータを使用しないでください。
仮想ホストに結び付けられたパートナ・アプリケーションのURLを登録している場合、httpd.confに仮想ホ
ストを定義する必要があります。 58ページのオプション: 仮想ホストの定義を参照してください。
• -config_fileは、osso.confファイルを生成するパスを示します。
オプション: 仮想ホストの定義
パートナ・アプリケーションの登録時に仮想ホストURLを使用する場合、EPM System Webサーバーとして使用され
るOracle HTTP Serverのhttpd.confを更新することによって、仮想ホストを定義する必要があります。
仮想ホストを定義するには:
1.
2.
テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/
httpd.confを開きます。
次の記述に類似した定義を追加します。この定義は、Webサーバーが、仮想サーバーepm.myCompany.com、
ポートepm.myCompany.com:19400で実行されていることを前提としています。各自の要件に合うように設定
を変更してください。
NameVirtualHost epm.myCompany.com:19400
Listen 19400
<VirtualHost epm.myCompany.com:19400>
DocumentRoot "C:/Oracle/Middleware/user_projects/epmsystem1/httpConfig/ohs
/config/OHS/ohs_component/private-docs"
include "${ORACLE_INSTANCE}/config/${COMPONENT_TYPE}
/${COMPONENT_NAME}/mod_osso.conf"
</VirtualHost>
mod_osso.confの作成
EPM System WebサーバーをフロントエンドするOracle HTTP Server上に、mod_osso.confを作成します。
mod_osso.confを作成するには:
1.
2.
テキスト・エディタを使用して、ファイルを作成します。
次のコンテンツをファイルにコピーして、使用する環境に合せてファイルを変更します。
LoadModule osso_module C:/Oracle/Middleware/ohs/ohs/modules/mod_osso.so
<IfModule mod_osso.c>
OssoIpCheck off
OssoIdleTimeout off
OssoSecureCookies off
OssoConfigFile C:/Oracle/Middleware/user_projects/epmsystem1/httpConfig/
ohs/config/OHS/ohs_component/osso/osso.conf
3.
58
<IfModule mod_osso.c定義内に、次の記述に類似した場所定義を含めて、OSSOを使用して保護する予定
の各リソースを識別します。
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
<Location /interop/>
require valid user
AuthType Osso
</Location>
</IfModule>
4.
mod_osso.confという名前でファイルを保存します。
osso.confの再配置
EPM System Webサーバーをパートナ・アプリケーションとして登録するプロセス( 57ページのパートナ・アプリ
ケーションとしてのEPM System Webサーバーの登録を参照)では、-config_fileディレクティブで識別された場
所に、難読化されたosso.confファイルを作成します。
osso.confを再配置するには:
1.
2.
EPM System Webサーバーをパートナ・アプリケーションとして登録( 57ページのパートナ・アプリケーション
としてのEPM System Webサーバーの登録を参照)したときに作成されたosso.confを検索します。
mod_osso.conf( 58ページのmod_osso.confの作成を参照)に定義されたOssoConifgFileプロパティ
で識別されたディレクトリ(OSSOサーバーをフロントエンドするOracle HTTP Server上)に、osso.confをコ
ピーします。
Reporting and Analysisのキャッシュ管理構成の追加
Oracle HTTP Serverのhttpd.confを編集して、Reporting and Analysisのキャッシュ管理構成設定を追加し
ます。
キャッシュ管理構成設定を追加するには:
1.
2.
テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/
httpd.confを開きます。
Reporting and Analysisキャッシュ管理に関する次のディレクティブを追加します:
<Location /WebAnalysis/>
OssoSendCacheHeaders off
</Location>
<Location /workspace/>
OssoSendCacheHeaders off
</Location>
<Location /hr/>
OssoSendCacheHeaders off
</Location>
<Location /HReports/>
OssoSendCacheHeaders off
</Location>
3.
httpd.confを保存して閉じます。
OSSO用EPM Systemの構成
OSSOソリューションと統合されるOIDを、外部ユーザー・ディレクトリとしてEPM Systemで構成し、SSOを使用可
能にします。
セキュリティ・エージェントでのSSOの使用可能
59
OSSO用EPM Systemを構成するには:
1.
2.
OSSOソリューションで使用するOIDを外部ユーザー・ディレクトリとして構成します。『Oracle Enterprise
Performance Management Systemユーザー・セキュリティ管理ガイド』のOID、Active Directoryおよびその他の
LDAPベースのユーザー・ディレクトリの構成に関する項を参照してください。
EPM SystemでSSOを使用可能にします。 82ページのSSO用のEPM Systemの構成
注:
OSSOをアイデンティティ管理ソリューションとして構成するには、「SSOプロバイダ/エージェン
ト」で「その他」を選択し、「SSOメカニズム」で「カスタムHTTPヘッダー」を選択します。プロキシ・リモー
ト・ユーザーをカスタムHTTPヘッダーの名前として入力します。
3.
4.
少なくとも1つのOIDユーザーをShared Services管理者としてプロビジョニングします。
EPM System製品、およびShared ServicesセキュリティAPIを使用するカスタム・アプリケーションを再起動
します。
注:
Shared Servicesで構成済のOIDがEPM System製品を開始する前に必ず実行しているよう
にします。
オプション: OSSOサーバー上のデバッグ・メッセージの使用可能化
OSSOサーバー上のデバッグ・メッセージを記録するには、policy.propertiesを変更します。デバッグ・メッセージ
はORACLE_HOME/sso/log/ssoServer.logに書き込まれます。
デバッグ・メッセージを記録するには:
1.
2.
テキスト・エディタを使用して、OSSOサーバー上のORACLE_HOME/sso/conf/policy.properties(C:\Ora
Home_1\sso\conf\policy.propertiesなど)を開きます。
debugLevelプロパティの値をDEBUGに設定します。
debugLevel = DEBUG
3.
policy.propertiesを保存して閉じます。
オプション: 保護されたリソースのデバッグ・メッセージの使用可能化
mod_osso.confを使用して保護されたリソースのOSSOデバッグ・メッセージを記録するには、EPM System Web
サーバー上のhttpd.confを変更します。デバッグ・メッセージは、EPM_ORACLE_INSTANCE/httpConfig/ohs/
diagnostics/logs/OHS/ohs_component/ohs_component.logに書き込まれます。
保護されたリソースのデバッグ・メッセージを記録するには:
1.
2.
60
テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/
httpd.confを開きます。
OraLogSeverityプロパティの値をTRACEに設定します。
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
OraLogSeverity TRACE:32
3.
httpd.confを保存して閉じます。
SSO用のEPM System製品の保護
サブトピック
• 保護するリソース
• 保護しないリソース
ユーザーからのSSO要求がセキュリティ・エージェント(OAM、OSSOまたはSiteMinder)にリダイレクトされるよう
に、EPM Systemリソースを保護する必要があります。
Oracle HTTPサーバーでは、mod_ossoを使用してOSSOサーバーにユーザーがリダイレクトされます。ユーザーは、要
求するURLが保護されるmod_ossoで構成される場合にのみ、リダイレクトされます。『Oracle HTTP Server管理者
ガイド』のセキュリティの管理に関する項を参照してください。
SiteMinder SSOのリソース保護は、SiteMinderのドキュメントを参照してください。
保護するリソース
61ページの表 4に、保護される必要のあるコンテキストをリストします。OSSO用にリソースを保護する構文(例
としてinteropを使用)は、次のとおりです:
<Location /interop>
Require valid-user
AuthType Basic
order deny,allow
deny from all
allow from
myServer.myCompany.com
satisfy any
</Location>
allow fromパラメータでは、コンテキストの保護をバイパスできる開始サーバーを指定します。
EPM Workspace、Financial ReportingおよびWeb Analysisの場合、次の例に示されたパラメータのみを設定
する必要があります:
<Location /workspace>
Require valid-user
AuthType Basic
</Location>
表4 保護するEPM Systemリソース
EPM System製品
保護するコンテキスト
Shared Services
/interop
セキュリティ・エージェントでのSSOの使用可能
61
EPM System製品
保護するコンテキスト
Oracle Hyperion Reporting and Analysis
Framework
• /raframework
EPM Workspace
/workspace
Financial Reporting
/hr
Web Analysis
/WebAnalysis
Oracle Hyperion EPM Architect
/awb
Planning
/HyperionPlanning
Oracle Hyperion Performance Scorecard
• /HPSWebReports
• /biplus_webservices
• /HPSAlerter
Oracle Hyperion Strategic Finance
/HSFWebServices
Oracle Integrated Operational Planning
/interlace
Financial Management
• /hfmadf
• /hfmofficeprovider
• /hfmsmartviewprovider
Data Relationship Management
/drm-web-client
Administration Services
/hbrlauncher
FDM
/HyperionFDM
Oracle Hyperion Calculation Manager
/calcmgr
Oracle Hyperion Provider Services
/aps
Oracle Hyperion Profitability and Cost
Management
/profitability
Account Reconciliation Manager
/arm
Oracle Hyperion Financial Close Management
/fcc
Oracle Hyperion Disclosure Management1
/mappingtool
Oracle Hyperion Financial Data Quality
Management, Enterprise Edition
/aif
1
SSLで保護されたWebサービスによるDisclosure Managementクライアントの使用をサポートするには、クライアント・マシンに(ルート証明書
から始まる)証明書チェーン全体が必要です。
保護しないリソース
63ページの表 5では、保護する必要のないコンテキストがリストされます。OSSO用にリソースを保護しない構
文(例として/interop/framework(.*)を使用)は、次のとおりです。
<LocationMatch /interop/framework(.*)>
Require valid-user
AuthType Basic
allow from all
satisfy any
</LocationMatch>
62
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
表5 保護しないEPM Systemリソース
EPM System製品
保護しないコンテキスト
Shared Services
• /interop/framework(.*)1
• /interop/Audit(.*)
• /interop/taskflow*2
• /interop/WorkflowEngine/*3
• /interop/TaskReceiver4
• /framework/lcm/HSSMigration
Performance Management Architect 5
• /awb/ces.executeAction.do
• /awb/lcm.executeAction.do
• /awb/appmanager.deployStatusUpdate.do
• /awb/jobstask.updateJobStatus.do
• /hyperion-bpma-server
• /awb/integration.updateApplicationDeploy
Status.do/**
EPM Workspace
• /epmstatic* 6
Planning
• /HyperionPlanning/Smartview
• /HyperionPlanning/faces/PlanningCentral
Oracle Hyperion Reporting and Analysis
Framework
• /raframework/wsrp4j(.*)
• /raframework/ResourceProxy(.*)
• /InsightInstaller* 7
Web Analysis*
• /WebAnalysis/wsrp4j(.*)
• /WebAnalysis/ResourceProxy(.*)
Oracle Hyperion Financial Reporting*
• /hr/common/HRLogon.jsp
• /hr/wsrp4j(.*)
• /hr/ResourceProxy(.*)
• /hr/services/*
• /hr/modules/com/hyperion/reporting/web/
reportViewer/HRStaticReport.jsp
Oracle Data Relationship Management
/drm-migration-client
Oracle Hyperion Calculation Manager
/calcmgr/common.performAction.do
(Performance Management Architect用)
Administration Services
• /eas
• /easconsole
• /easdocs
Financial Management
• /hfm/EIE/EIEListener.asp
• /hfmapplicationservice
• /oracle-epm-fm-webservices
セキュリティ・エージェントでのSSOの使用可能
63
EPM System製品
保護しないコンテキスト
• /hfmlcmservice
Planning
• /HyperionPlanning/servlet/HspLCMServlet
• /HyperionPlanning/servlet/HspAppManager
Servlet (Performance Management Architect用)
Oracle Hyperion Performance Scorecard
• /HPSWebReports/wsrp4j(.*)
• /HPSWebReports/ResourceProxy(.*)
• /HPSWebReports/action/lcmCallBack
Performance Management Architectデータの同期
/DataSync/services*
Oracle Hyperion Strategic Finance
• /HSFWebServices/HSFWebService.asmx
• /HSFWebServices/HSFEntityWebService.asmx
Oracle Integrated Operational Planning
• /interlace/services/(.*)
• /interlace/anteros/(.*)
• /interlace/interlace/(.*)
• /interlace/WebHelp/(.*)
• /interlace/html/(.*)
• /interlace/email-book/(.*)
Profitability and Cost Management
• /profitability/cesagent
• /profitability/lcm
• /profitability/control
• /profitability/HPMApplicationListener
Oracle Hyperion Financial Data Quality
Management, Enterprise Edition
• /aif/services/FDMRuleService
Oracle Hyperion Disclosure Management
• /discmanwebservices
1
• /aif/services/RuleService
• /mappingtool/MappingToolWS
(.*)は、すべてにサブディレクトリが含まれることを意味するSiteMinderフォーマットです。
*が付加されたテキスト(例: taskflow*)は、現在のディレクトリ内にあるテキストで始まるもの(例: taskflow)を意味します。
3
/*は、このディレクトリ(サブディレクトリを含む)内にあるものを意味します。
4
ワイルドカードが使用されていない場合、指定したコンテキストのみが保護解除されます。
5
/awb/integration.updateApplicationDeployStatus.do/**は、Oracle Access Managerの統合についてのみ、保護を解除する必
要があります。
6
Oracle Access Managerを使用している場合、このリソースの保護を解除します
7
Oracle Access Managerを使用している場合、このリソースの保護を解除します
2
64
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
SiteMinder SSO
サブトピック
•
•
•
•
•
•
•
プロセス・フロー
注意事項
前提条件
SiteMinder Webエージェントの使用可能化
SiteMinderポリシー・サーバーの構成
EPM System Webサーバーに要求を転送するためのSiteMinder Webサーバーの構成
EPM SystemでSiteMinderを使用可能にする
SiteMinderはWeb専用のソリューションです。デスクトップ・アプリケーションおよびそのアドイン(たとえ
ば、Microsoft ExcelやReport Designer)は、SiteMinderからの認証を使用できません。ただし、Oracle Smart
View for Officeでは、SiteMinder認証を使用できます。
プロセス・フロー
SiteMinder使用可能なSSOの概要を図で示します:
SiteMinderのSSOプロセス:
1. ユーザーは、SiteMinderで保護されたEPM Systemリソースへのアクセスを試行します。SiteMinderポリシー・
サーバーをフロントエンドするWebサーバーに接続するURL(http://WebAgent_Web_Server_Name:Web
Agent_Web_ServerPort/interop/index.jspなど)を使用します。
セキュリティ・エージェントでのSSOの使用可能
65
2. Webサーバーは、資格証明を要求するポリシー・サーバーにユーザーをリダイレクトします。構成済ユーザー・ディレ
クトリに対する資格証明の検証後、ポリシー・サーバーは、SiteMinder WebエージェントのホストとなるWebサー
バーに資格証明を渡します。
3. SiteMinder WebエージェントのホストとなるWebサーバーは、EPM SystemをフロントエンドするOracle
HTTP Serverに要求をリダイレクトします。Oracle HTTP Serverは、WebLogic ServerまたはIIS Server上
にデプロイされている、要求されたアプリケーションにユーザーをリダイレクトします。
4. EPM Systemコンポーネントは、プロビジョニング情報を確認し、コンテンツを提供します。このプロセスが機能
するには、SiteMinderでユーザーの認証に使用するユーザー・ディレクトリを、EPM Systemの外部ユーザー・
ディレクトリとして構成する必要があります。これらのディレクトリは信頼済として構成する必要があります。
注意事項
SiteMinderはWeb専用のソリューションです。デスクトップ・アプリケーションおよびそのアドイン(たとえ
ば、Microsoft ExcelやReport Designer)は、SiteMinderからの認証を使用できません。ただし、Smart Viewで
は、SiteMinder認証を使用できます。
前提条件
1. 完全な機能のSiteMinderインストールは、次のコンポーネントで構成されています:
• ポリシーおよびエージェント・オブジェクトが定義されたSiteMinderポリシー・サーバー
• SiteMinderポリシー・サーバーをフロントエンドするWebサーバーにインストールされたSiteMinder Webエー
ジェント
2. 完全な機能のEPM Systemデプロイメント。
EPM SystemコンポーネントにWebサーバーを構成する場合、EPM SystemコンフィグレータはOracle HTTP
Serverに次を構成し、要求をアプリケーション・サーバーにプロキシします:
• WebLogic Serverに要求をプロキシするmod_wl_ohs.conf
• IISに要求をプロキシするmod_proxy
SiteMinder Webエージェントの使用可能化
Webエージェントは、EPM Systemリソースに対する要求をインターセプトするWebサーバー上にインストールされま
す。認証されていないユーザーが保護されたEPM Systemリソースにアクセスしようとすると、Webエージェントでは
ユーザーに対してSSO資格証明を要求します。ユーザーが認証されると、ポリシー・サーバーは認証されたユーザーの
ログイン名を追加し、そのログイン名はヘッダーで渡されます。その後、HTTP要求がEPM System Webサーバーに
渡され、要求をリダイレクトします。EPM Systemコンポーネントはヘッダーから認証済ユーザー資格証明を抽出しま
す。
SiteMinderは、異種のWebサーバー・プラットフォーム上で実行されているEPM System製品全体のSSOをサ
ポートしています。EPM System製品が異なるWebサーバーを使用する場合、SiteMinder Cookieを同じドメ
イン内のWebサーバーに確実に渡せるようにする必要があります。各WebサーバーのWebAgent.confファイル
のCookiedomainの値として適切なEPM Systemアプリケーション・ドメインを指定して、これを行います。
Netegrity SiteMinderエージェント・ガイドのWebエージェントの構成に関する項を参照してください。
66
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
注:
Shared Servicesはそのコンテンツを保護するために基本認証を使用するため、Shared
Servicesへの要求をインターセプトするWebサーバーは、SiteMinderを使用したSSOをサポート
できるように基本認証を使用可能にする必要があります。
SiteMinder Webエージェント構成ウィザードを実行して、Webエージェントを構成します(これを行うに
は、WEBAGENT_HOME/install_config_info/nete-wa-configを実行します。たとえば、Windowsの場合、C:
\netegrity\webagent\install_config_info\nete-wa-config.exeになります)。構成プロセスでは、Site
Minder WebサーバーのWebAgent.confが作成されます。
SiteMinder Webエージェントを使用可能にするには:
1.
2.
テキスト・エディタを使用して、WebAgent.confを開きます。このファイルの場所は、使用しているWebサーバー
によって異なります。IIS ServerをSiteMinder Webサーバーとして構成している場合、WebAgent.confの場
所は、WEB_AGENT_HOME/bin/IIS(C:\SiteMinder\webagent\bin\iis\WebAgent.confなど)になりま
す。
enableWebAgentプロパティの値をはいに設定します。
enableWebAgent=”YES”
3.
Webエージェント構成ファイルを保存して閉じます。
SiteMinderポリシー・サーバーの構成
SiteMinder管理者は、EPM System製品にSSOが使用可能になるようにポリシー・サーバーを構成する必要があ
ります。
構成プロセスは次のとおりです:
• SiteMinder Webエージェントの作成、およびSiteMinder Webサーバーに適した構成オブジェクトの追加
• 保護する必要がある各EPM Systemリソースのレルムの作成、およびWebエージェントのレルムへの追
加。 61ページの保護するリソースを参照してください
• 保護するEPM Systemリソース用に作成されたレルム内で、保護しないリソース用のレルムを作成しま
す。 62ページの保護しないリソースを参照してください
• HTTPヘッダー参照の作成。ヘッダーは、EPM Systemアプリケーションにログイン属性の値を提供する必要があ
ります。ログイン属性の簡単な説明については、『Oracle Enterprise Performance Management Systemユーザー・セ
キュリティ管理ガイド』のOID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成に関
する項を参照してください。
• Webエージェント・アクションとして、取得、ポストおよび配置を使用したレルム内のルールの作成
Oracle Hyperion Web Analysisのみ: HEADアクションをルールに追加する必要もあります。
• 値がhyplogin=<%userattr="SM_USERLOGINNAME"%>のレスポンス属性の作成
• ポリシーの作成、ユーザー・ディレクトリ・アクセスの割当て、およびEPM System用に作成したルールの現在のメ
ンバー・リストへの追加
• EPM Systemコンポーネント用に作成したルールに対する応答の設定
セキュリティ・エージェントでのSSOの使用可能
67
EPM System Webサーバーに要求を転送するためのSite
Minder Webサーバーの構成
SiteMinder WebエージェントのホストとなるWebサーバーを構成して、認証済ユーザー(ユーザーを識別するヘッ
ダーを含む)からEPM System Webサーバーに要求を転送します。
ApacheベースのWebサーバー用に、次の記述に類似したディレクティブを使用して、認証済要求を転送します:
ProxyPass / http://
EPM_WEB_SERVER
:
EPM_WEB_SERVER_PORT
/
ProxyPassReverse / http://
EPM_WEB_SERVER
:
EPM_WEB_SERVER_PORT
/
ProxyPreserveHost On
#If SiteMinder Web Server is using HTTPS but EPM Web Server is using HTTP
RequestHeader set WL-Proxy-SSL true
このディレクティブで、EPM_WEB_SERVERおよびEPM_WEB_SERVER_PORTを、各自の環境の実際の値に置き換えま
す。
EPM SystemでSiteMinderを使用可能にする
SiteMinderとの統合により、EPM System製品のSiteMinder認証を使用可能にする必要がありま
す。 82ページのSSO用のEPM Systemの構成を参照してください。
Kerberosシングル・サインオン
サブトピック
•
•
•
•
•
概要
サポート制約事項
前提
WebLogic Serverを使用したKerberos SSO
Kerberos認証をサポートするためのWebLogic Serverでの手順
概要
EPM System製品は、EPM System製品をホストするアプリケーション・サーバーがKerberos認証用に設定されて
いる場合は、Kerberos SSOをサポートします。
Kerberosは信頼できる認証サービスで、各Kerberosクライアントは他のKerberosクライアント(ユーザー、ネット
ワーク・サービスなど)のアイデンティティを有効なものとして信頼します。
68
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
EPM System製品にユーザーがアクセスする場合に行われる処理は、次のとおりです:
1. Windowsコンピュータで、ユーザーは、KerberosレルムでもあるWindowsドメインにログインします。
2. 統合Windows認証を使用するように構成されているブラウザを使用して、ユーザーはアプリケーション・サーバー
上で実行されているEPM System製品にログインします。
3. アプリケーション・サーバー(ネゴシエート・アイデンティティ・アサーション・プロバイダ)は要求をインターセプトし、
ブラウザの認証ヘッダーからKerberos情報とともにSimple and Protected Generic Security Services
API (GSSAPI) Negotiation Mechanism (SPNEGO)トークンを取得します。
4. アサーション・プロバイダは、EPM System製品にユーザーに関する情報を渡すために、そのアイデンティティ・
ストアに対してトークンに含まれるユーザーのアイデンティティの妥当性を確認します。EPM System製品は
Active Directoryに対してユーザー名を検証します。EPM System製品は、すべてのEPM System製品間で
SSOをサポートするSSOトークンを発行します。
サポート制約事項
Kerberos SSOは、すべてのEPM System製品に対してサポートされていますが、次の例外があります:
• Kerberos SSOは、Smart View以外のシック・クライアントに対してサポートされていません。
• Smart Viewは、Oracle Essbase、PlanningおよびFinancial Managementプロバイダに対してのみ
Kerberos統合をサポートします
• IISが埋め込まれたEPM System製品のKerberos SSOサポート(Financial Managementなど)は、EPM
Workspaceを介してのみ使用可能です。Oracle Hyperion Financial Data Quality Managementへの
SSOアクセスは、Financial Managementを介して提供されます。
前提
このドキュメントにはアプリケーション・レベルのKerberos構成手順が記載されていますが、システム・レベルでの
Kerberos構成に関する知識があることを前提としています。これらの手順を開始する前に、次のタスクの前提条件
が満たされていることを確認してください。
このドキュメントでは、Windowsクライアント・マシンがKerberos認証用に構成されている、フル機能のKerberos
対応ネットワーク環境で作業していることを前提としています。
• 企業のActive DirectoryがKerberos認証用に構成されています。Microsoft Windows Serverのドキュメン
トを参照してください。
• EPM System製品へのアクセスに使用されるブラウザは、Kerberosチケットを使用してネゴシエートするように
構成されています。
○Firefox: https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Linux/5/
html/Deployment_Guide/sso-config-firefox.html
○Internet Explorer: http://docs.oracle.com/cd/E12839_01/web.1111/e13707/
sso.htm#i1102444
• KDCとクライアント・マシン間で、時間同期の誤差は5分以内です。http://technet.microsoft.com/en-us/
library/cc780011(WS.10).aspxの「Authentication Errors are Caused by Unsynchronized Clocks」
を参照してください。
セキュリティ・エージェントでのSSOの使用可能
69
• Financial Managementがデプロイされている場合、Internet Information System (IIS)での統合
Windows認証は有効になります。
IISがEPM System製品のWebサーバーとしてのみ使用される場合、IISでの統合Windows認証は無効になり
ます。
WebLogic Serverを使用したKerberos SSO
WebLogic Server Kerberos SSOは、Microsoftクライアントを使用したSSOが使用可能になるよう
に、SPNEGOトークンをネゴシエートおよびデコードするためネゴシエート・アイデンティティ・アサーション・プロバイダ
を使用します。WebLogic ServerはKerberosチケットを取得するためにSPNEGOトークンをデコードし、そのチケッ
トを検証してWebLogic Serverユーザーにマップします。WebLogic ServerのActive Directory認証プロバイダ
は、WebLogic Serverユーザーのユーザー・ディレクトリとしてActive Directoryを構成するためにネゴシエート・ア
イデンティティ・アサーション・プロバイダとともに使用できます。
ブラウザがEPM System製品へのアクセスを要求する場合、KDCはそのブラウザにKerberosチケットを発行し、そ
れによって、サポートされるGSSトークン・タイプを含むSPNEGOトークンが作成されます。ネゴシエート・アイデンティ
ティ・アサーション・プロバイダはSPNEGOトークンをデコードし、GSSAPIを使用して、セキュリティ・コンテキストを受
け入れます。要求を開始したユーザーのアイデンティティはユーザー名にマップされ、WebLogic Serverに渡されま
す。また、WebLogic Serveは、ユーザーが属するグループを決定します。この段階で、要求されたEPM System製
品はユーザーに使用できるようになります。
注:
ユーザーはSPNEGOをサポートするブラウザ(たとえば、Internet ExplorerやFirefoxなど)を
使用して、WebLogic Serverで実行しているEPM System製品にアクセスする必要がありま
す。WebLogic ServerはUNIXまたはWindowsプラットフォームで実行できます。
認証プロセスから取得されたユーザーIDを使用して、EPM System製品認証プロセスはプロビジョニング・データを
チェックします。EPM System製品へのアクセスは、プロビジョニング・データに基づいて制限されます。
『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のMicrosoftクライアントでのシングル・サイ
ンオンの構成に関する項を参照してください。
Kerberos認証をサポートするためのWebLogic Serverで
の手順
Kerberos認証をサポートするには、管理者は次のタスクを完了する必要があります:
• EPM SystemのWebLogicドメインを作成します。 71ページのEPM SystemのWebLogicドメインの作成を
参照してください。
• 認証プロバイダを作成します。 71ページのWebLogic ServerでのLDAP認証プロバイダの作成を参照して
ください。
• ネゴシエート・アイデンティティ・アサーション・プロバイダを作成します。 71ページのネゴシエート・アイデンティ
ティ・アサーション・プロバイダの作成を参照してください。
70
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
• Kerberos識別を作成します。 72ページのWebLogic Server用のKerberos識別の作成を参照してくださ
い。
• Kerberos用のJVMオプションを更新します。 73ページのKerberos用のJVMオプションの更新を参照して
ください。
• 認可ポリシーを構成します。 74ページの認可ポリシーの構成を参照してください。
• SSODiagをデプロイして使用し、WebLogic ServerがEPM Systemに対してKerberos SSOをサポートする準
備が整っているかを確認します。 74ページのSSODiagを使用したKerberos環境のテストを参照してくださ
い。
EPM SystemのWebLogicドメインの作成
通常、EPM Systemコンポーネントは、EPMSystem WebLogicドメイン(デフォルトの場所はMIDDLEWARE_HOME/
user_projects/domains/EPMSystem)にデプロイされます。
Kerberos認証用にEPM System WebLogicドメインを構成するには:
1.
2.
3.
EPM Systemコンポーネントをインストールします。
Foundation Servicesのみをデプロイします。
Foundation Servicesのデプロイメントにより、デフォルトのEPM System WebLogicドメインが作成されま
す。
Shared Services ConsoleにログインしてFoundation Servicesのデプロイメントが成功したことを確認しま
す。 17ページのShared Services Consoleの起動を参照してください。
WebLogic ServerでのLDAP認証プロバイダの作成
WebLogic Server管理者は、LDAP認証プロバイダを作成して、ユーザー情報およびグループ情報を外部LDAP
サーバーに格納します。LDAP v2-またはv3-に準拠したLDAPサーバーは、WebLogic Serverと連携して機能しま
す。次のリファレンスを参照してください:
• 『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のLDAP認証プロバイダの構成に関する項。
• Oracle Fusion Middleware Oracle WebLogic Server Administration Consoleオンライン・ヘルプの認証およびア
イデンティティ・アサーション・プロバイダの構成に関する項。
ネゴシエート・アイデンティティ・アサーション・プロバイダの作成
ネゴシエート・アイデンティティ・アサーション・プロバイダは、MicrosoftクライアントによるSSOの使用を可能にしま
す。SPNEGOトークンをデコードしてKerberosトークンを取得し、Kerberosトークンを検証してトークンをWebLogic
ユーザーにマップします。ネゴシエート・アイデンティティ・アサーション・プロバイダは、WebLogic Securityフレーム
ワークで定義されているようにSecurity Service Provider Interface (SSPI)の実装で、クライアントのSPNEGO
トークンに基づいたクライアントの認証に必要なロジックを提供します。
• 『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のネゴシエートIDアサーション・プロバイダの構成
に関する項
セキュリティ・エージェントでのSSOの使用可能
71
• Oracle Fusion Middleware Oracle WebLogic Server Administration Consoleオンライン・ヘルプの認証およびア
イデンティティ・アサーション・プロバイダの構成に関する項。
ネゴシエート・アイデンティティ・アサーション・プロバイダの作成時、すべての認証プロバイダに対してJAAS制御フ
ラグ・オプションをOPTIONALに設定します。Oracle Fusion Middleware Oracle WebLogic Server管理コン
ソール・オンライン・ヘルプのJAAS制御フラグの設定に関する項を参照してください。
WebLogic Server用のKerberos識別の作成
Active Directoryドメイン・コントローラ・マシンで、WebLogic ServerおよびEPM System Webサーバーを表す
ユーザー・オブジェクトを作成し、KerberosレルムのWebLogic ServerおよびWebサーバーを表すサービス・プリン
シパル名(SPN)にマップします。クライアントでは、SPNがないサービスを検索できません。SPNは、ログイン・プロセ
スで使用するWebLogic Serverドメインにコピーするkeytabファイルに格納します。
手順の詳細は、『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のWebLogic Server用の
Kerberos識別の作成に関する項を参照してください。
WebLogic Server用のKerberos識別を作成するには:
1.
Active Directoryドメイン・コントローラ・マシンで、WebLogic ServerドメインおよびEPM Systemコンポーネ
ントで使用されるIISをホストするコンピュータについて、ユーザー・アカウント(epmHostなど)を作成します。
注:
マシンではなく、ユーザー・オブジェクトとして識別を作成します。
コンピュータの簡易名を使用します。たとえば、ホスト名がepmHost.example.comの場合、epm
Hostを使用します。
ユーザー・オブジェクトの作成時に使用したパスワードを書き留めます。これは、SPNの作成に必要
です。
パスワード・オプション、特に「ユーザーは次回ログオン時にパスワードの変更が必要」オプションを選択
しないでください。
2.
Kerberosプロトコルに準拠するようにユーザー・オブジェクトを変更します。アカウントは、Kerberos事前認証
を必要とします。
• 「Account」タブで、使用する暗号化を選択します。
• 他のアカウント・オプション(特に「Kerberos事前認証を必要としない」)が選択されていないことを確認しま
す。
• 暗号化タイプを設定すると、オブジェクトのパスワードが破損する可能性があるため、パスワードをオブジェク
トの作成時に設定したパスワードにリセットします。
3.
4.
Active Directoryドメイン・コントローラをホストするコンピュータで、コマンド・プロンプト・ウィンドウを開
き、Active Directoryサポート・ツールがインストールされているディレクトリに移動します。
必要なSPNを作成して構成します。
a.
72
次のようなコマンドを使用して、 72ページのステップ 1で作成したユーザー・オブジェクト(epmHost)に
SPNが関連付けられていることを確認します。
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
setspn -L
epmHost
b.
次のようなコマンドを使用して、Active Directoryドメイン・サービス(AD DS)でWebLogic Serverの
SPNを構成し、共有秘密鍵を含むkeytabファイルを生成します。
ktpass -princ HTTP/
epmHost.example.com
@
EXAMPLE.COM
-pass
password
-mapuser epmHost -out c:\epmHost.keytab
5.
WebLogic Serverをホストするコンピュータでkeytabファイルを作成します。
a.
b.
c.
コマンド・プロンプトを開きます。
MIDDLEWARE_HOME/jdk160_29/binに移動します。
次のようなコマンドを実行します:
ktab -k
keytab_filename
-a [email protected]
d.
6.
7.
パスワードの入力を求められたら、 72ページのステップ 1でユーザーの作成時に設定したパスワードを
入力します。
WebLogicドメイン内の起動ディレクトリ(C:\Oracle\Middleware\user_projects\domains
\EPMSystemなど)にkeytabファイルをコピーします。
Kerberos認証が正しく機能していることを確認します。
kinit -k -t keytab-file account-name
このコマンドで、account-nameはKerberosプリンシパルを示します。例: HTTP/epmHost.example.
[email protected]。このコマンドからの出力は次のようになります:
New ticket is stored in cache file C:\Documents and Settings\Username
\krb5cc_MachineB
Kerberos用のJVMオプションの更新
Oracle Fusion Middleware Oracle WebLogic Server 11gリリース1 (10.3.1)の保護のWebLogic Serverでの
Kerberos認証における起動引数の使用に関する項およびJAASログイン・ファイルの作成に関する項を参照してく
ださい。
EPM System管理対象サーバーがWindowsのサービスとして稼働している場合、Windowsレジストリを更新し
て、JVM起動オプションを設定します。
WindowsレジストリでJVM起動オプションを更新するには:
セキュリティ・エージェントでのSSOの使用可能
73
1.
2.
Windowsレジストリ・エディタを開きます。
「マイ コンピュータ」、「HKEY_LOCAL_MACHINE」、「Software」、「Hyperion
Solutions」、「EPMServer0」、「HyS9EPMServer_epmsystem1」の順に選択します。
次の文字列値を作成します:
3.
注:
74ページの表 6に示されている名前は例です。
表6 Kerberos認証用のJVM起動オプション
名前
タイプ
データ
JVMOption44
REG_SZ
-Djava.security.krb5.realm=Active Directory Realm Name
JVMOption45
REG_SZ
-Djava.security.krb5.kdc=Active Directory host name or IP
address
JVMOption46
REG_SZ
-Djava.security.auth.login.config=location of Kerberos
login configuration file
JVMOption47
4.
REG_SZ
-Djavax.security.auth.useSubjectCredsOnly=false
追加したJVMOptionを反映するようにJVMOptionCount DWordの値を更新します(現在の10進数値に4
を加えます)。
認可ポリシーの構成
EPM SystemにアクセスするActive Directoryユーザー用の認可ポリシーの構成の詳細は、Oracle Fusion
Middleware Oracle WebLogic Serverロールおよびポリシーによるリソースの保護のWebアプリケーションとEJBリソースの
保護オプションに関する項を参照してください。
ポリシーの構成手順の例については、 76ページのSSODiag用のポリシーの作成を参照してください。
SSODiagを使用したKerberos環境のテスト
サブトピック
•
•
•
•
SSODiagのデプロイ
SSODiag用のOracle HTTP Serverの構成
SSODiag用のポリシーの作成
SSODiagを使用したKerberos認証用のWebLogic Server構成のテスト
SSODiagは、Kerberos環境でWebLogic ServerがEPM Systemをサポートする準備が整っているかをテストす
る診断Webアプリケーションです。
SSODiagのデプロイ
Foundation Servicesのデプロイ時に指定したWebLogic Server管理者の資格証明(デフォルトのユーザー名
はepm_admin)を使用して、SSODiagをデプロイします。
74
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
SSODiagをデプロイして構成するには:
1.
2.
3.
4.
5.
6.
EPM Systemドメインに対するWebLogic Server管理コンソールにログオンします。
チェンジ・センターで、「ロックして編集」をクリックします。
「ドメイン構造」の「EPMSystem」から、「デプロイメント」をクリックします。
デプロイメントの要約で、「インストール」をクリックします。
「パス」で、EPM_ORACLE_HOME/products/Foundation/AppServer/InstallableApps/common/
SSODiag.warを選択します。
「次へ」をクリックします。
8.
「デプロイ・ターゲットの選択」で、次を選択し、「次へ」をクリックします。
7.
ターゲット指定スタイルの選択で、このデプロイメントをアプリケーションとしてインストールするが選択されてい
ることを確認し、「次へ」をクリックします。
• EPMServer
• クラスタのすべてのサーバー
9.
「オプション設定」で、「カスタム・ロールおよびポリシー: 管理コンソール内に定義されたロールとポリシーのみを
使用します。」をセキュリティ・モデルとして選択します。
セキュリティ・エージェントでのSSOの使用可能
75
10.
11.
12.
13.
「次へ」をクリックします。
確認画面で、「いいえ、後で構成を確認します。」を選択します。
「終了」をクリックします。
チェンジ・センターで、「変更のアクティブ化」を選択します。
SSODiag用のOracle HTTP Serverの構成
mod_wl_ohs.confを更新して、SSODiag URL要求をWebLogic Serverに転送するようOracle HTTP Server
を構成します。
Oracle HTTP ServerでURL転送を構成するには:
1.
2.
テキスト・エディタを使用して、EPM_ORACLE_INSTANCE/httpConfig/ohs/config/OHS/ohs_component/
mod_wl_ohs.confを開きます。
SSODiagのLocationMatch定義を追加します:
<LocationMatch /SSODiag/>
SetHandler weblogic-handler
WeblogicCluster myServer:28080
</LocationMatch>
3.
4.
前述の例で、myServerはFoundation Servicesホスト・マシンを表し、28080はShared Servicesが要求をリ
スニングするポートを表します。
mod_wl_ohs.confを保存して閉じます。
Oracle HTTP Serverを再起動します。
SSODiag用のポリシーの作成
WebLogic Server管理コンソールでポリシーを作成し、次のSSODiag URLを保護します。
76
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
http://
OHS_HOST_NAME
:
PORT
/SSODiag/krbssodiag
この例では、OHS_HOST_NAMEはOracle HTTP Serverをホストするサーバーの名前を表し、PORTはOracle HTTP
Serverが要求をリスニングするポートを表します。
SSODiagを保護するポリシーを作成するには:
1.
2.
3.
WebLogic Server管理コンソールのチェンジ・センターで、EPM Systemに対して「ロックして編集」を選択し
ます。
「デプロイメント」、「SSODiag」、「ロール」、「ポリシー」の順に選択します。
次のURLパターンを作成します:
• /
• /index.jsp
4.
作成した各URLパターンを変更します:
a.
5.
「スタンドアロンWebアプリケーションのURLパターン」のURLパターンのリストから、作成したパターン(/)を
クリックして開きます。
b. 「条件の追加」を選択します。
c. 「述部リスト」から「ユーザー」を選択します。
d. 「次へ」を選択します。
e. ユーザー引数名で、アカウントがKerberos認証用に構成されているクライアント・デスクトップへのアクセ
スに使用されるActive Directoryユーザー(krbuser1など)を入力し、「追加」を選択します。krbuser1は
Active DirectoryまたはWindowsデスクトップ・ユーザーです。
f. 「終了」を選択します。
「保存」を選択します。
SSODiagを使用したKerberos認証用のWebLogic Server構成のテスト
Kerberos認証用のWebLogic Server構成が正しく機能する場合、Oracle Hyperion Kerberos SSO診断ユーティリ
ティV 1.0に次のメッセージが表示されます:
Retrieving Kerberos User principal name... Success.
Kerberos principal name retrieved...
SOME_USER_NAME
注意
SSODiagがKerberosプリンシパル名を取得できない場合、Kerberos認証用にEPM Systemコ
ンポーネントを構成しないでください。
Kerberos認証用のWebLogic Server構成をテストするには:
1.
Foundation ServicesとOracle HTTP Serverを起動します。
セキュリティ・エージェントでのSSOの使用可能
77
2.
3.
4.
WebLogic Server管理コンソールを使用して、すべての要求を処理するSSODiag Webアプリケーションを起
動します。
有効なActive Directory資格証明を使用して、Kerberos認証用に構成されているクライアント・マシンにログ
オンします。
ブラウザを使用して、次のSSODiag URLに接続します:
http://
OHS_HOST_NAME
:
PORT
/SSODiag/krbssodiag
この例では、OHS_HOST_NAMEはOracle HTTP Serverをホストするサーバーの名前を表し、PORTはOracle
HTTP Serverが要求をリスニングするポートを表します。
Kerberos認証が適切に機能する場合、SSODiagは次の情報を表示します:
Retrieving Kerberos User principal name... Success.
Kerberos principal name retrieved...
SOME_USER_NAME
Kerberos認証が適切に機能しない場合、SSODiagは次の情報を表示します:
Retrieving Kerberos User principal name... failed.
EPM Systemコンポーネントの構成
EPM Systemコンフィグレータを使用して、Foundation ServicesがデプロイされているWebLogicドメインに他の
EPM Systemコンポーネントを構成およびデプロイします。
Kerberos認証用のEPM System管理対象サーバーの構成
Microsoft Windows環境では、EPM System管理対象サーバーはWindowsサービスとして実行されます。Web
Logic管理対象サーバーごとにJVM起動オプションを変更する必要があります。非コンパクト・デプロイメント・モード
の管理対象サーバーの包括的なリストは次のとおりです:
• AnalyticProviderServices0
• CalcMgr0
• DisclosureManagement0
• EpmaDataSync0
• EpmaWebReports0
• ErpIntegrator0
• EssbaseAdminServer0
78
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
• FinancialReporting0
• FMWebServices0
• FoundationServices0
• HpsAlerter0
• HpsWebReports0
• hsfweb0
• Planning0
• Profitability0
• RaFramework0
• WebAnalysis0
EPM SystemのWebアプリケーションがコンパクト・デプロイメント・モードでデプロイメントされている場合
は、EPMSystem0管理対象サーバーのJVM起動オプションのみを更新する必要があります。複数のコンパクト管理
対象サーバーがある場合、すべての管理対象サーバーについてJVM起動オプションを更新する必要があります。
『Oracle Fusion Middleware Oracle WebLogic Serverの保護』のWebLogic ServerでのKerberos認証における
起動引数の使用に関する項を参照してください。
注:
次の手順は、FoundationServices管理対象サーバーのJVM起動オプションを設定する方法を
示しています。このタスクは、デプロイメント内のWebLogic管理対象サーバーごとに実行する必
要があります。
WebLogic Server起動スクリプトでJVMオプションを構成する詳細な手順について
は、 73ページのKerberos用のJVMオプションの更新を参照してください。
認可ポリシーの構成
Foundation Services以外のEPM SystemコンポーネントにアクセスするActive Directoryユーザー用
の認可ポリシーを構成します。WebLogic管理コンソールからのセキュリティ・ポリシーの構成に関する詳細
は、 74ページの認可ポリシーの構成を参照してください。
EPM Systemコンポーネントのデフォルトのセキュリティ・モデルの変
更
EPM System構成ファイルを編集して、デフォルトのセキュリティ・モデルを変更します。非コンパクトEPM System
デプロイメントの場合、config.xmlに記載されている各EPM System Webアプリケーションのデフォルトのセキュ
リティ・モデルを変更する必要があります。EPM System Webアプリケーションのリストは次のとおりです:
• AIF
• APS
• CALC
セキュリティ・エージェントでのSSOの使用可能
79
• DISCLOSUREMANAGEMENT
• EAS
• EPMADATASYNCHRONIZER
• EPMAWEBTIER
• FINANCIALREPORTING
• HPSAlerter
• HPSWebReports
• HSFWEB
• PLANNING
• PROFITABILITY
• RAFRAMEWORK
• SHAREDSERVICES
• WEBANALYSIS
• WORKSPACE
セキュリティ・モデルを変更するには:
1.
2.
テキスト・エディタを使用して、MIDDLEWARE_HOME/user_projects/domains/EPMSystem/config/
config.xmlを開きます。
各EPM Systemコンポーネントのapp-deployment定義で、次の例に示すように、<security-dd-model>の
値をCustomRolesAndPoliciesに設定します:
<app-deployment>
<name>SHAREDSERVICES#11.1.2.0</name>
<target>EPMServer</target>
<module-type>ear</module-type>
<source-path>C:\Oracle\Middleware\EPMSystem11R1/products/Foundation/AppServer/
InstallableApps/common/interop.ear</source-path>
<security-dd-model>CustomRolesAndPolicies</security-dd-model>
<staging-mode>nostage</staging-mode>
</app-deployment>
3.
4.
config.xmlを保存して閉じます。
WebLogic Serverを再起動します。
EPM SystemコンポーネントのURL保護ポリシーの作成
各EPM SystemコンポーネントのURLを保護するには、WebLogic Server管理コンソールでURL保護ポリシー
を作成します。詳細は、『Oracle Fusion Middleware Oracle WebLogic Server ロールおよびポリシーによるリソースの保
護』の「WebアプリケーションおよびEJBリソースの保護のオプション」を参照してください。
URL保護ポリシーを作成するには:
1.
2.
3.
80
EPM Systemドメインに対するWebLogic Server管理コンソールのチェンジ・センターで、「ロックして編集」を
クリックします。
「デプロイメント」をクリックします。
デプロイメント内のEPM Systemエンタープライズ・アプリケーション(PLANNINGなど)を展開し、その
Webアプリケーション(HyperionPlanningなど)をクリックします。EPM Systemコンポーネントのリスト
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
は、 79ページのEPM Systemコンポーネントのデフォルトのセキュリティ・モデルの変更を参照してくださ
い。
注:
一部のエンタープライズ・アプリケーション(Oracle Essbase Administration Servicesなど)
は、URLパターンの定義が必要な複数のWebアプリケーションから構成されます。
4.
WebアプリケーションのURLパターン・スコープのポリシーを作成します。
a.
b.
c.
d.
e.
f.
g.
「セキュリティ」、「ポリシー」、「新規」の順にクリックします。
「URLパターン」に、/*を入力します。
「OK」をクリックします。
作成したURLパターン(/*)をクリックします。
「条件の追加」をクリックします。
述部リストで、ポリシー条件を選択して「次へ」をクリックします。
指定したグループのすべてのメンバーにこのセキュリティ・ポリシーを付与する「グループ」条件を使用する
ことをお薦めします。
選択した述部に関連する引数を指定します。たとえば、前の手順で「グループ」を選択した場合、次の手順
を実行する必要があります:
i.
h.
「グループ引数名」に、Webアプリケーションへのアクセスを許可するユーザーを含むグループの名前
を入力します。入力する名前は、Active Directoryグループ名と完全一致する必要があります。
ii. 「追加」をクリックします。
iii. さらにグループを追加するには、前述の手順を繰り返します。
「終了」をクリックします。
Active Directoryでグループが見つからない場合は、WebLogic Serverにエラー・メッセージが表示され
ます。続行する前に、このエラーを解決する必要があります。
5.
6.
7.
i. 「保存」を選択します。
デプロイメント内の他のEPM Systemコンポーネントについて、 80ページのステップ 3およ
び 81ページのステップ 4を繰り返します。
チェンジ・センターで、「構成の解放」をクリックします。
WebLogic Serverを再起動します。
EPM Systemセキュリティ構成の更新
SSOを順守するようにEPM Systemセキュリティを構成します。 82ページのSSO用のEPM Systemの構成を
参照してください。
Kerberos用のIISサーバーの構成
アプリケーション・サーバーとしてIISを使用するEPM Systemコンポーネント(Financial Managementなど)を使用
している場合は、この項を実行します。
Kerberos用にEPM System IISサーバーを構成するには:
1.
IISマネージャを起動します。
セキュリティ・エージェントでのSSOの使用可能
81
2.
3.
4.
5.
6.
7.
8.
「Webサイト」、「既定のWebサイト」の順に展開します。
EPM SystemコンポーネントのWebサイト(Financial Managementのhfmなど)を右クリックし、「プロパ
ティ」を選択します。
「ディレクトリ セキュリティ」タブで、「認証とアクセス制御」の「編集」をクリックします。
「認証方法」で、「統合Windows認証」を選択します。
「アプリケーション プール」を展開します。
前述の手順で認証およびアクセス制御方法を変更したEPM Systemコンポーネントのアプリケーション・プール
を右クリックし、「プロパティ」をクリックします。たとえば、hfm Webサイトの認証およびアクセス制御方法を変更
した場合、hfmAppPoolを右クリックして「プロパティ」を選択します。
「アプリケーション プール ddentity」の「識別」タブで、次の手順を実行します。
a.
「ユーザー名」に、作成したサービス・プリンシパルを入力します( 72ページのWebLogic Server用の
Kerberos識別の作成を参照)。
b. 「パスワード」に、サービス・プリンシパルのパスワードを入力します。
c. 「OK」をクリックします。
9. 82ページのステップ 3から 82ページのステップ 8を繰り返し、残りのWebサイトおよびアプリケーショ
ン・プールについてKerberos認証を構成します。
10. IISを再起動します。
SSO用のEPM Systemの構成
EPM System製品は、SSO用にセキュリティ・エージェントをサポートするために構成する必要があります。Shared
Servicesで指定した構成により、すべてのEPM System製品に次のことが決定されます。
• セキュリティ・エージェントからSSOを受け入れるかどうか
• SSOを受け入れる認証メカニズム
SSOを使用可能な環境において、ユーザーが最初にアクセスするEPM System製品では、SSOメカニズムが分析さ
れ、ここに含まれている認証済ユーザーIDが取得されます。EPM System製品では、Shared Servicesで構成され
たユーザー・ディレクトリに対してユーザーIDがチェックされ、ユーザーが有効なEPM Systemユーザーであることが決
定されます。また、EPM System製品全体でSSOを使用可能にするトークンも発行されます。
Shared Servicesで指定される構成により、SSOが使用可能になり、すべてのEPM System製品に対してSSOを
受け入れる認証メカニズムが決定されます。
Webアイデンティティ管理ソリューションからSSOを使用可能にするには:
1.
2.
3.
Shared Services ConsoleをShared Services管理者として起動します。 17ページのShared Services
Consoleの起動を参照してください。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
Webアイデンティティ管理ソリューションにより使用されるユーザー・ディレクトリがShared Servicesで外部の
ユーザー・ディレクトリとして構成されることを確認します。
たとえば、Kerberos SSOを使用可能にする場合、Kerberos認証用に構成されているActive Directoryを外
部ユーザー・ディレクトリとして構成する必要があります。
4.
5.
6.
82
85ページの第4章「ユーザー・ディレクトリの構成」を参照してください。
「セキュリティ・オプション」を選択します。
「詳細オプションの表示」を選択します。
「定義済ユーザー・ディレクトリ」画面の「シングル・サインオン構成」で、次の手順を実行します:
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
a.
b.
「SSOの使用可能」を選択します。
「SSOプロバイダ/エージェント」から、Webアイデンティティ管理ソリューションを選択します。Kerberosで
SSOを構成している場合、「その他」を選択します。
推奨されるSSOメカニズムが自動的に選択されます。 83ページの表 7を参照してくださ
い。 51ページのサポートされているSSOメソッドを参照してください。
注:
推奨されるSSOメカニズムを使用していない場合、「SSOプロバイダ/エージェント」で「その他」を
選択する必要があります。たとえば、SiteMinderのHTTPヘッダー以外のメカニズムを使用する
には、「SSOプロバイダ/エージェント」の「その他」を選択してから、「SSOメカニズム」で使用する
SSOメカニズムを選択します。
表7 Webアイデンティティ管理ソリューションに適したSSOメカニズム
Webアイデンティティ管理ソリューション
推奨SSOメカニズム
Oracle Access Manager
カスタムHTTPヘッダー
OSSO
カスタムHTTPヘッダー
SiteMinder
カスタムHTTPヘッダー
Kerberos
HTTP要求からリモート・ユーザーを取得
1
1
デフォルトのHTTPヘッダー名は、HYPLOGINです。カスタムHTTPヘッダーを使用中の場合、名前を置き換えます。
7.
「OK」をクリックします。
Smart Viewに対するシングル・サインオンのオプション
Smart Viewはシック・クライアントであり、ブラウザではありませんが、HTTPを使用してサーバー・コンポーネントに
接続し、システム的にはブラウザのように動作します。Smart Viewでは、ブラウザ・インタフェースでサポートされる
すべての標準的なWebベースの統合方法がサポートされます。ただし、一部の制限があります:
• SSOメカニズムは、共有コンポーネントに対してのみサポートされます。主に下位互換として使用されるプライベー
ト接続では、SSOメカニズムはサポートされません。
• Smart Viewが、EPM Systemコンポーネントに接続されている既存のブラウザ・セッションから起動される場合、
既存のセッションからのcookieが共有されないため、ユーザーはSmart Viewに再度サイン・インする必要があり
ます。
• デフォルトのOracle Access Managerログイン・フォームではなくカスタムhtmlベースのログイン・フォームを使
用している場合、カスタム・フォームのソースに文字列loginformが含まれていることを確認してください。これ
は、Smart ViewがOracle Access Managerと統合して動作できるようにするために必要です。
セキュリティ・エージェントでのSSOの使用可能
83
84
4
ユーザー・ディレクトリの構成
この項の内容:
EPM Systemセキュリティのユーザー・ディレクトリ ......................................................................... 85
ユーザー・ディレクトリ構成に関連する操作 .................................................................................... 86
Oracle Identity ManagerとEPM System ............................................................................... 86
Active Directoryの情報 ......................................................................................................... 87
OID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成 ........................... 87
リレーショナル・データベースをユーザー・ディレクトリとして構成する .................................................. 100
ユーザー・ディレクトリの接続のテスト .......................................................................................... 103
ユーザー・ディレクトリ設定の編集 .............................................................................................. 103
ユーザー・ディレクトリ構成の削除 .............................................................................................. 104
ユーザー・ディレクトリの検索順の管理 ........................................................................................ 105
セキュリティ・オプションの設定 ................................................................................................. 106
暗号化鍵の再生成 ................................................................................................................. 109
特殊文字の使用方法 ............................................................................................................. 110
EPM Systemセキュリティのユーザー・ディレクトリ
EPM System製品は、ユーザー・ディレクトリと総称される多くのユーザーおよびアイデンティティ管理システ
ムでサポートされています。その中には、Sun Java System Directory Server (旧SunONE Directory
Server)、Active Directoryなど、Lightweight Directory Access Protocol (LDAP)対応のユーザー・ディレクト
リが含まれています。また、EPM Systemは、外部ユーザー・ディレクトリとしてリレーショナル・データベースもサポート
します。
通常、EPM System製品では、プロビジョニングにネイティブ・ディレクトリおよび外部ユーザー・ディレクトリが使用
されます。サポートされているユーザー・ディレクトリのリストは、Oracle Enterprise Performance Management
Systemの動作保証マトリックスを参照してください。
EPM System製品では、製品にアクセスする各ユーザーにユーザー・ディレクトリ・アカウントが必要です。これら
のユーザーは、プロビジョニングを円滑にするようグループに割り当てることができます。ユーザーおよびグループに
は、EPM Systemの役割とオブジェクトACLをプロビジョニングすることができます。管理のオーバーヘッドのため、
個別ユーザーのプロビジョニングはお薦めしません。すべての構成済ユーザー・ディレクトリからのユーザーおよびグ
ループは、Shared Services Consoleに表示されます。
デフォルトで、EPM Systemコンフィグレータにより、EPM System製品をサポートするShared Servicesリポジトリ
がネイティブ・ディレクトリとして構成されます。ディレクトリ・マネージャはShared Services Consoleを使用して、ネ
イティブ・ディレクトリにアクセスして管理します。
ユーザー・ディレクトリの構成
85
ユーザー・ディレクトリ構成に関連する操作
SSOと承認をサポートするには、システム管理者が外部ユーザー・ディレクトリを構成する必要があります。Shared
Services Consoleから、システム管理者はユーザー・ディレクトリの構成と管理に関連する複数のタスクを実行でき
ます。これらのトピックは、次の手順に示されています。
• ユーザー・ディレクトリの構成:
○ 87ページのOID、Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリの構成
○ 100ページのリレーショナル・データベースをユーザー・ディレクトリとして構成する
• 103ページのユーザー・ディレクトリの接続のテスト
• 103ページのユーザー・ディレクトリ設定の編集
• 104ページのユーザー・ディレクトリ構成の削除
• 105ページのユーザー・ディレクトリの検索順の管理
• 106ページのセキュリティ・オプションの設定
Oracle Identity ManagerとEPM System
Oracle Identity Managerは、エンタープライズ・リソース全体でユーザー・アカウントと属性レベルの権限の両方を
追加、更新および削除するプロセスを自動化する、役割およびユーザーの管理ソリューションです。Oracle Identity
Managerは、スタンドアロン製品として、あるいはOracle Identity and Access Management Suite Plusの一
部として使用できます。
EPM Systemは、LDAPグループであるエンタープライズ・ロールの使用によってOracle Identity Managerと統
合されます。EPM Systemコンポーネントの役割は、エンタープライズ・ロールに割り当てることができます。Oracle
Identity Managerエンタープライズ・ロールに追加されたユーザーまたはグループは、割り当てられているEPM
Systemの役割を自動的に継承します。
たとえば、Budget Planningという名前のPlanningアプリケーションがあるとします。このアプリケーションをサ
ポートするには、Budget Planningインタラクティブ・ユーザー、Budget Planningエンド・ユーザー、Budget
Planning管理者の3つの役割をOracle Identity Managerで作成します。EPM Systemの役割をプロビジョ
ニングする際、プロビジョニング・マネージャはOracle Identity Managerのエンタープライズ・ロールを、Budget
Planningと、Shared Servicesなどのその他のEPM Systemコンポーネントの必須役割に必ずプロビジョニン
グします。Oracle Identity Mangerのエンタープライズ・ロールに割り当てられているユーザーとグループはすべ
て、EPM Systemの役割を継承します。Oracle Identity Managerのデプロイと管理の詳細は、Oracle Identity
Managerのドキュメントを参照してください。
Oracle Identity ManagerとEPM Systemを統合するには、管理者は次の手順を実行する必要があります。
• EPM Systemプロビジョニングに使用する予定のOracle Identity Managerエンタープライズ・ロールのメン
バー(ユーザーとグループ)がLDAP対応のユーザー・ディレクトリ(OID、Active Directoryなど)で定義されている
ことを確認します。
• EPM Systemで、エンタープライズ・ロールのメンバーが定義されているLDAP対応のユーザー・ディレクトリを外部
ユーザー・ディレクトリとして構成します。 87ページのOID、Active Directoryおよびその他のLDAPベースの
ユーザー・ディレクトリの構成を参照してください。
86
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
Active Directoryの情報
この項では、このドキュメントで使用されるMicrosoft Active Directoryの概念について説明します。
DNS検索とホスト名検索
システム管理者はShared Servicesが静的ホスト名検索またはDNS検索を行ってActive Directoryを識別でき
るようにActive Directoryを構成できます。静的ホスト名検索はActive Directoryフェイルオーバーをサポートしま
せん。
DNS検索を使用すると、Active Directoryが確実に高可用性を実現するように複数のドメイン・コントローラ上で構
成されるシナリオでは、Active Directoryの高可用性が確実に実現されます。DNS検索を実行するように構成さ
れている場合、Shared Servicesは登録されているドメイン・コントローラを識別する問合せをDNSサーバーに対し
て行い、最大の重みのドメイン・コントローラに接続します。Shared Servicesが接続されるドメイン・コントローラで障
害が発生すると、Shared Servicesは次に使用可能な最大の重みのドメイン・コントローラに動的に切り替えます。
注:
DNS検索は、フェイルオーバーをサポートする冗長Active Directory設定が使用可能な場合の
み構成できます。詳細は、Microsoftのドキュメントを参照してください。
グローバル・カタログ
グローバル・カタログは、フォレスト内のすべてのActive Directoryオブジェクトのコピーを保管するドメイン・コント
ローラです。そのホスト・ドメインのディレクトリ内のその他すべてのドメインのすべてのオブジェクトの完全なコピーお
よびフォレスト内のその他すべてのドメインのすべてのオブジェクトの部分コピーを保管し、これらは通常のユーザー
検索操作で使用されます。グローバル・カタログの設定については、Microsoftのドキュメントを参照してください。
組織でグローバル・カタログを使用する場合、次のメソッドのいずれかを使用して、Active Directoryを構成します。
• 外部ユーザー・ディレクトリとしてグローバル・カタログ・サーバーを構成する(推奨)。
• 個別の外部ユーザー・ディレクトリとして各Active Directoryドメインを構成する。
個々のActive Directoryドメインではなく、グローバル・カタログを構成することにより、EPM System製品がフォレ
スト内のローカルおよびユニバーサル・グループにアクセスできます。
OID、Active Directoryおよびその他のLDAPベースのユー
ザー・ディレクトリの構成
この項で示す手順を使用して、システム管理者は、OID、Sun Java System Directory Server、Oracle Virtual
Directory、Active Directory、IBM Tivoli Directory ServerなどのLDAPベースの企業ユーザー・ディレクトリを
構成するか、あるいは構成画面に示されないLDAPベースのユーザー・ディレクトリを構成します。
ユーザー・ディレクトリの構成
87
OID、Active Directoryおよび他のLDAPベースのユーザー・ディレクトリを構成するには:
1.
2.
システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services
Consoleの起動を参照してください。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
「プロバイダ構成」タブが開きます。この画面には、ネイティブ・ディレクトリを含むすでに構成済のすべてのユー
ザー・ディレクトリが一覧表示されます。
3.
4.
「新規」をクリックします。
「ディレクトリ・タイプ」で、次のいずれかのオプションを選択します:
• Lightweight Directory Access Protocol(LDAP): Active Directory以外のLDAP対応ユーザー・ディレ
クトリを構成します。Oracle Virtual Directoryを構成するには、このオプションを選択します。
• Microsoft Active Directory (MSAD): Active Directoryを構成します。
Active DirectoryおよびActive Directory Application Mode (ADAM)のみ: カスタムID属性
(ObjectGUID以外の属性、たとえばsAMAccountName)をActive DirectoryまたはADAMで使用する場
合、「Lightweight Directory Access Protocol (LDAP)」を選択し、ディレクトリ・タイプ「その他」として構
成します。
5.
88
「次へ」をクリックします。
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
6.
必要なパラメータを入力します。
表8 「接続情報」画面
ラベル
説明
ディレクトリ・サーバー
ユーザー・ディレクトリを選択します。ID属性値が、選択した製品の推奨される一定
の一意のアイデンティティ属性に変わります。 88ページのステップ 4でActive
Directoryを選択した場合、このプロパティは自動的に選択されます。 次のシナリオ
で、「その他」を選択します。
• リストされていないユーザー・ディレクトリ・タイプ(Oracle Virtual Directoryなど)を
構成しています。
ユーザー・ディレクトリの構成
89
ラベル
説明
• リストされているLDAP対応ユーザー・ディレクトリ(たとえばOID)を構成しています
が、カスタムID属性は使用しません。
• カスタムID属性を使用するActive DirectoryまたはADAMを構成しています。
注:
Oracle Virtual Directoryでは、LDAPディレクトリとRDMBSデータ・リポジトリの
抽象化が仮想化されて1つのディレクトリ・ビューで提供されるため、Oracle Virtual
Directoryでサポートされるユーザー・ディレクトリの数やタイプに関係なく、EPM
Systemでは1つの外部ユーザー・ディレクトリとみなされます。
例: Oracle Internet Directory
名前
ユーザー・ディレクトリのわかりやすい名前。複数のユーザー・ディレクトリが構成されて
いる場合は、特定のユーザー・ディレクトリを識別するために使用します。「名前」には、
空白とアンダースコア以外の特殊文字を含めることはできません。
例: Corporate_OID
DNS検索
Active Directoryのみ: このオプションを選択してDNS検索を使用可能にしま
す。 87ページのDNS検索とホスト名検索を参照してください。DNS検索は、接続
が失敗しないように、本番環境でのActive Directoryへの接続方法として構成する
ことをお薦めします。
注:
グローバル・カタログを構成している場合は、このオプションを選択しないでください。
このオプションを選択すると、次のフィールドが表示されます:
• ドメイン: Active Directoryフォレストのドメイン名です。
例: example.comまたはus.example.com
• ADサイト: Active Directoryサイト名で、通常はActive Directory構成コンテナ
に保管されているサイト・オブジェクトの相対的な識別名です。一般的にADサイト
により、市、都道府県、地域や国などの地理的な場所が識別されます。
例: Santa ClaraまたはUS_West_region
• DNSサーバー: ドメイン・コントローラのDNSサーバー検索をサポートするサーバーの
DNS名。
ホスト名
Active Directoryのみ: このオプションを選択して静的なホスト名検索を使用可能に
します。 87ページのDNS検索とホスト名検索を参照してください。
注:
Active Directoryグローバル・カタログを構成している場合は、このオプションを選択
します。
ホスト名
ユーザー・ディレクトリ・サーバーのDNS名。SiteMinderからSSOをサポートするために
ユーザー・ディレクトリを使用する場合は、完全修飾のドメイン名を使用します。ホスト
名は、テスト目的でActive Directory接続を確立する場合にのみ使用することをお
薦めします。
90
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
ラベル
説明
注:
Active Directoryグローバル・カタログを構成している場合は、グローバル・カタログ・
サーバーのホスト名を指定します。 87ページのグローバル・カタログを参照してくだ
さい。
例: MyServer
ポート
ユーザー・ディレクトリが実行するポート番号。
注:
Active Directoryグローバル・カタログを構成している場合は、グローバル・カタログ・
サーバーが使用するポート(デフォルトは3268)を指定します。 87ページのグローバ
ル・カタログを参照してください。
例: 389
SSL使用可能
このユーザー・ディレクトリとのセキュア通信を使用可能にするチェック・ボックス。ユー
ザー・ディレクトリは、セキュア通信として構成する必要があります。
ベースDN
ユーザーおよびグループの検索を開始するノードの識別名(DN)。また、「DNのフェッ
チ」ボタンを使用して、使用可能なベースDNのリストを表示し、そのリストから適切な
ベースDNを選択できます。
注:
グローバル・カタログを構成している場合は、フォレストのベースDNを指定します。
特殊文字の使用上の制限については、 110ページの特殊文字の使用方法を参照
してください。 EPM System製品のすべてのユーザーとグループを含む最下位のDN
を選択することをお薦めします。 例: dc=example,dc=com
ID属性
この属性値は、「ディレクトリ・タイプ」で「その他」が選択されている場合のみ変更で
きます。この属性はディレクトリ・サーバー上のユーザーおよびグループ・オブジェクトに
存在する共通の属性である必要があります。 この属性の推奨値が自動的に、OID
(orclguid)、SunONE (nsuniqueid)、IBM Directory Server (Ibm-entry
Uuid)、Novell eDirectory (GUID)およびActive Directory (ObjectGUID)に設定
されます。 例: orclguid 「ディレクトリ・サーバー」で「その他」を選択後、ID属性値を
手動で設定する場合(Oracle Virtual Directoryを構成する場合など)、ID属性値は
次のようになります:
• 一意の属性を指します
• 場所に固有ではありません
• 時間の経過とともに変わりません
最大サイズ
検索が戻す結果の最大数。ユーザー・ディレクトリ設定でサポートする値よりもこの値が
大きい場合は、ユーザー・ディレクトリ値がこの値をオーバーライドします。
Active Directory以外のユーザー・ディレクトリの場合、このフィールドを空白にする
と、検索条件を満たすすべてのユーザーとグループが取得されます。
ユーザー・ディレクトリの構成
91
ラベル
説明
Active Directoryの場合、この値を0に設定すると、検索条件を満たすすべてのユー
ザーとグループが取得されます。
委任された管理モードでShared Servicesを構成している場合は、この値を0に設定
します。
信頼済
このプロバイダが信頼できるSSOソースであることを示すチェック・ボックス。信頼でき
るソースからのSSOトークンにはユーザーのパスワードは含まれません。
匿名のバインド
Shared Servicesで匿名をユーザー・ディレクトリにバインドしてユーザーおよびグルー
プを検索できることを示すチェック・ボックス。ユーザー・ディレクトリが匿名のバインドを
許可する場合にのみ使用できます。このオプションを選択しない場合は、ユーザー情報
が保管されたディレクトリを検索するのに十分なアクセス権限を持つアカウントをユー
ザーDNに指定する必要があります。 匿名のバインドを使用しないことをお薦めしま
す。
注:
匿名のバインドはOIDではサポートされません。
ユーザーDN
「匿名のバインド」が選択されている場合、このオプションは使用不可です。
Shared Servicesがユーザー・ディレクトリとのバインドに使用するユーザーの識別名。
このユーザーにはDN内のRDN属性に対する検索権限が必要です。たとえば、dn:
cn=John Doe, ou=people, dc=myCompany, dc=comでは、バインド・ユーザーに
はcn属性への検索アクセス権が必要です。
ユーザーDNの値に特殊文字を指定する場合はエスケープ文字を使用する必要があり
ます。制限については、 110ページの特殊文字の使用方法を参照してください。
例: cn=admin,dc=myCompany,dc=com
ベースDNの追加
ベースDNをユーザーDNに追加するためのチェック・ボックス。ディレクトリ・マネージャ・
アカウントをユーザーDNとして使用している場合は、ベースDNを追加しないでくださ
い。
「匿名のバインド」オプションが選択されている場合、このチェック・ボックスは使用不
可です。
パスワード
ユーザーDNパスワード
「匿名のバインド」オプションが選択されている場合、このボックスは使用不可です。
例: UserDNpassword
詳細オプションの表示
詳細オプションを表示するチェック・ボックス。
参照
Active Directoryのみ:
Active Directoryが構成されている場合は、「従う」を選択すると、LDAP参照に自動
的に従います。「無視」を選択すると、参照は使用されません。
92
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
ラベル
説明
別名の逆参照
Shared Servicesの検索で使用するメソッドを選択すると、ユーザー・ディレクトリの別
名が逆参照されます。これにより、別名のDNが指すオブジェクトが検索で取得されま
す。選択:
• 常時: 常に別名を逆参照します。
• なし: 別名を逆参照しません。
• 検索中: 名前解決の間にのみ別名を逆参照します。
• 検索中: 名前解決の後にのみ別名を逆参照します。
接続読取りタイムアウト
この間隔(秒数)が経過した後も応答がない場合、LDAPプロバイダはLDAP読取り試
行を中止します。
デフォルト: 60秒
最大接続数
接続プール内の最大接続数。LDAPベースのディレクトリ(Active Directoryを含む)
の場合、デフォルトは100です。
デフォルト: 100
タイムアウト
プールから接続を取得するまでのタイムアウト。この期間が過ぎると例外が発生しま
す。
デフォルト: 300000ミリ秒(5分)
削除間隔
オプション: 削除プロセスを実行してプールを消去するための間隔。削除プロセスに
よって、「アイドル状態の接続許容時間」を超えたアイドル状態の接続が除去されます。
デフォルト: 120分
アイドル状態の接続許容時間
オプション: 削除プロセスがプール内のアイドル状態の接続を除去するまでの許容時
間。
デフォルト: 120分
接続の拡大
このオプションは、接続プールが最大接続数を超える接続を保持できるかどうかを示し
ます。デフォルトで選択されています。接続プールが接続を保持できず、接続がタイムア
ウトに設定された時間内に使用できない場合、システムはエラーを返します。
カスタム認証モジュールを使用 カスタム認証モジュールの使用を使用可能にして、このユーザー・ディレクトリで
可能にする
定義されたユーザーを認証するためのチェック・ボックス。認証モジュールの完全
修飾Javaクラス名も、「セキュリティ・オプション」画面で入力する必要がありま
す。 106ページのセキュリティ・オプションの設定を参照してください。
カスタム認証モジュールの認証は、シン・クライアントおよびシック・クライアントに対し
て透過的で、クライアントのデプロイメント変更は必要ありません。『Oracle Enterprise
Performance Management Systemセキュリティ構成ガイド』のカスタム認証モジュール
の使用に関する項を参照してください。
7.
「次へ」をクリックします。
Shared Servicesは、「ユーザー構成」画面に設定されたプロパティを使用して、ユーザーの検索を開始するノー
ドの特定に利用されるユーザーURLを作成します。このURLを使用すると、検索効率が向上します。
ユーザー・ディレクトリの構成
93
注意
ユーザーURLは別名をポイントできません。EPM Systemのセキュリティでは、ユーザーURLが実
際のユーザーをポイントすることを求められます。
画面の「自動構成」領域を使用して、必要な情報を取得することをお薦めします。
注:
ユーザー構成で使用できる特殊文字のリストについては、 110ページの特殊文字の使用方法を
参照してください。
8.
「自動構成」に、フォーマットattribute=identifierを使用して、一意のユーザー識別子を入力します。例:
uid=jdoe。
ユーザーの属性は、「ユーザー構成」領域に表示されます。
OIDを構成している場合は、OIDのルートDSEがネーミング・コンテキスト属性内にエントリを含まないため、
ユーザー・フィルタを自動的に構成できません。『Oracle Fusion Middleware Oracle Internet Directory管理者
ガイド』のネーミング・コンテキストの管理に関する項を参照してください。
94
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
注:
「ユーザー構成」領域のテキスト・ボックスに、必要なユーザー属性を手動で入力できます。
表9 「ユーザー構成」画面
1
ラベル
説明
ユーザーRDN
ユーザーの相対的な識別名。DNの各コンポーネントはRDNと呼ばれ、ディレクト
リ・ツリー内の分岐を表します。ユーザーのRDNは一般に、uidまたはcnと同じで
す。
制限については、 110ページの特殊文字の使用方法を参照してください。
例: ou=People
ログイン属性
ユーザーのログオン名を保管する一意の属性(カスタム属性も可能)。ユーザー
は、EPM System製品にログインするとき、この属性の値をユーザー名として使用
します。 ユーザーID (「ログイン属性」の値)は、すべてのユーザー・ディレクトリにわ
たって一意である必要があります。たとえば、SunONE構成とActive Directory
構成の「ログイン属性」として、それぞれuidとsAMAccountNameを使用できます。
これらの属性の値は、ネイティブ・ディレクトリを含むすべてのユーザー・ディレクトリ
にわたって一意である必要があります。
注:
ユーザーIDでは、大文字と小文字が区別されません。
注:
Kerberos環境のOracle Application ServerにデプロイされたEPM System
製品の外部ユーザー・ディレクトリとしてOIDを構成している場合は、このプロパ
ティをuserPrincipalNameに設定する必要があります。
デフォルト
• Active Directory: cn
• Active Directory以外のLDAPディレクトリ: uid
名の属性
ユーザーの名を保管する属性
デフォルト: givenName
姓の属性
ユーザーの姓を保管する属性
デフォルト: sn
電子メール属性
オプション: ユーザーの電子メール・アドレスを保管する属性
デフォルト: mail
オブジェクト・クラス
ユーザー・ディレクトリの構成
ユーザーのオブジェクト・クラス(ユーザーに関連付けられる必須とオプションの属
性)。Shared Servicesは、この画面に表示されたオブジェクト・クラスを検索フィ
95
ラベル
説明
1
ルタで使用します。これらのオブジェクト・クラスを使用して、Shared Servicesは、
プロビジョニングされたすべてのユーザーを検索する必要があります。
注:
ユーザー・ディレクトリ・タイプ「その他」としてActive DirectoryまたはADAMを、カ
スタムID属性を使用するように構成している場合、この値をuserに設定する必要
があります。
オブジェクト・クラスは、必要に応じて手動で追加できます。オブジェクト・クラス
を追加するには、「オブジェクト・クラス」ボックスにオブジェクト・クラス名を入力
し、「追加」をクリックします。 オブジェクト・クラスを削除するには、オブジェクト・ク
ラスを選択し、「削除」をクリックします。 デフォルト
• Active Directory: user
• Active Directory以外のLDAPディレクトリ: person, organizational
Person, inetorgperson
ユーザーを制限するフィルタ
EPM System製品の役割がプロビジョニングされるユーザーのみを取得する
LDAP問合せ。たとえば、LDAP問合せ(uid=Hyp*)は、名前がHypで始まるユー
ザーのみを取得します。
ユーザー構成画面はユーザーRDNを検証します。必要な場合は、ユーザー・フィルタ
の使用をお薦めします。
ユーザー・フィルタは、問合せで戻されるユーザー数を制限します。ユーザーRDNに
よって識別されるノードが、プロビジョニングされる必要のない多くのユーザーを含
む場合に特に重要です。ユーザー・フィルタは、プロビジョニングされる必要のない
ユーザーを除外するために使用できます。これにより、パフォーマンスが向上します。
複数属性のRDN用のユーザー検
索属性
Active Directory以外のLDAP対応ユーザー・ディレクトリのみ: ディレクトリ・サー
バーが複数属性のRDNを使用するように構成される場合にのみ、この値を設定し
ます。設定した値はいずれかのRDN属性である必要があります。指定した属性の
値は一意で、属性は検索可能である必要があります。 たとえば、SunONEディレ
クトリ・サーバーが、cn (cn=John Doe)およびuid (uid=jDoe12345)属性を組み
合わせるように構成され、次のような複数属性のRDNを作成するとします:
cn=John Doe+uid=jDoe12345, ou=
people,
dc=myCompany, dc=com
この場合、これらの属性が次の条件を満たしている場合には、cnまたはuidのい
ずれかを使用できます:
• この属性は「接続情報」タブにファイルされたユーザーDNで識別されたユーザー
により検索可能です
• この属性はユーザー・ディレクトリ全体で一意の値に設定する必要があります
96
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
ラベル
説明
1
カスタム・プライマリ・グループの解 Active Directoryのみ: 効果的な役割を決定するためにユーザーのプライマリ・
決
グループを識別するかどうかを示すチェック・ボックス。このチェック・ボックスはデ
フォルトで選択されています。この設定は変更しないことをお薦めします。
ユーザー・パスワードの期限が次の Active Directoryのみ: Active Directoryユーザーのパスワードが指定した日数
日数以内に切れる場合に警告を表 以内に期限切れになる場合に警告メッセージを表示するかどうかを示すチェック・
示
ボックス。
1
EPM Systemセキュリティでは、構成値がオプションの一部のフィールドにデフォルト値が使用されます。そのようなフィールドに値を入力しない
場合、デフォルト値が実行時に使用されます。
9.
「次へ」をクリックします。
「グループ構成」画面が開きます。Shared Servicesは、この画面に設定されたプロパティを使用して、グループ
の検索を開始するノードを特定するグループURLを作成します。このURLを使用すると、検索効率が向上しま
す。
注意
グループURLは別名をポイントできません。EPM Systemのセキュリティでは、グループURLが実
際のグループをポイントすることを求められます。グループの別名を使用するNovell eDirectory
を構成している場合、グループURL内でグループの別名とグループ・アカウントを使用できる必要
があります。
注:
「グループ構成」画面のデータ入力はオプションです。グループURLの設定を入力しない場
合、Shared Servicesは、ベースDN内を検索してグループを見つけます。これは特に、ユーザー・
ディレクトリに多くのユーザーが含まれている場合に悪影響をパフォーマンスに及ぼします。
ユーザー・ディレクトリの構成
97
10. 組織で、グループのプロビジョニングを予定していない場合、またはユーザーがユーザー・ディレクトリでループに
分類されない場合は、「グループのサポート」をクリアします。このオプションをクリアすると、この画面のフィール
ドは使用不可になります。
グループをサポートしている場合は、自動構成機能を使用して、必要な情報を取得することをお薦めします。
OIDをユーザー・ディレクトリとして構成している場合は、自動構成機能を使用できません。理由は、OIDのルー
トDSEがネーミング・コンテキスト属性内にエントリを含まないからです。『Oracle Fusion Middleware Oracle
Internet Directory管理者ガイド』のネーミング・コンテキストの管理に関する項を参照してください。
11. 「自動構成」テキスト・ボックスに、一意のグループ識別子を入力し、「検索」をクリックします。
グループ識別子は、フォーマットattribute=identifierで指定する必要があります。例: cn=western_
region。
グループの属性は、「グループ構成」領域に表示されます。
注:
必要なグループ属性は、「グループ構成」テキスト・ボックスに入力できます。
注意
ノード名に/ (スラッシュ)または\ (円記号(バックスラッシュ))を含むユーザー・ディレクトリにグルー
プURLが設定されていない場合、ユーザーおよびグループの検索は失敗します。たとえば、ユー
ザーおよびグループが存在するノード内(OU=child\ou,OU=parent/ouまたはOU=child/ou,
OU=parent \ ouなど)のユーザー・ディレクトリにグループURLが指定されていない場合、ユー
ザーまたはグループを表示する操作は失敗します。
98
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
表10 「グループ構成」画面
1
ラベル
説明
グループRDN
グループの相対DN。この値は、ベースDNの相対パスで、グループURLとして使用さ
れます。 グループRDNを指定します。これにより、プロビジョニングする予定のすべて
のグループが使用可能な最下位のユーザー・ディレクトリ・ノードが識別されます。 プロ
ビジョニングにActive Directoryプライマリ・グループを使用する場合、プライマリ・グ
ループがグループRDN下にあることを確認します。Shared Servicesでは、グループ
URLのスコープ外のプライマリ・グループは取得されません。 グループRDNはログイン
と検索のパフォーマンスに重大な影響を及ぼします。グループRDNはすべてのグルー
プ検索の開始点であるため、EPM System製品のすべてのグループが使用可能な最
下位ノードを識別する必要があります。最適なパフォーマンスを保証するには、グループ
RDN内に存在するグループのメンバーが10,000を超えないようにする必要がありま
す。これより多くのグループが存在する場合は、グループ・フィルタを使用して、プロビ
ジョニングするグループのみを取得します。
注:
グループURL内の使用可能なグループ数が10,000を超えると、Shared Servicesは
警告を表示します。
制限については、 110ページの特殊文字の使用方法を参照してください。 例: ou=
Groups
名前の属性
グループの名前を保管する属性 デフォルト
• Active Directoryを含むLDAPディレクトリ: cn
• ネイティブ・ディレクトリ: cssDisplayNameDefault
オブジェクト・クラス
グループのオブジェクト・クラス。Shared Servicesは、この画面に表示されたオブ
ジェクト・クラスを検索フィルタで使用します。これらのオブジェクト・クラスを使用し
て、Shared Servicesは、ユーザーに関連付けられたすべてのグループを検索する必要
があります。
注:
ユーザー・ディレクトリ・タイプ「その他」としてActive DirectoryまたはADAMを、カスタ
ムID属性を使用するように構成している場合、この値をgroup?memberに設定する必
要があります。
オブジェクト・クラスは、必要に応じて手動で追加できます。オブジェクト・クラスを追
加するには、「オブジェクト・クラス」テキスト・ボックスにオブジェクト・クラス名を入力
し、「追加」をクリックします。 オブジェクト・クラスを削除するには、オブジェクト・クラス
を選択し、「削除」をクリックします。 デフォルト
• Active Directory: group?member
• Active Directory以外のLDAPディレクトリ: groupofuniquenames?
uniquemember, groupOfNames?member
• ネイティブ・ディレクトリ: groupofuniquenames?uniquemember, cssGroup
Extend?cssIsActive
ユーザー・ディレクトリの構成
99
1
ラベル
説明
グループを制限するフィルタ
EPM System製品の役割がプロビジョニングされるグループのみを取得するLDAP
問合せ。たとえば、LDAP問合せ(|(cn=Hyp*)(cn=Admin*))は、名前がHypまた
はAdminで始まるグループのみを取得します。
グループ・フィルタは、問合せで戻されるグループ数を制限するために使用します。グ
ループRDNによって識別されるノードが、プロビジョニングされる必要のない多くのグ
ループを含む場合に特に重要です。フィルタは、プロビジョニングされる必要のないグ
ループを除外するために使用できます。これにより、パフォーマンスが向上します。
プロビジョニングにActive Directoryプライマリ・グループを使用する場合、設定した
グループ・フィルタがグループURLのスコープ内に含まれるプライマリ・グループを取得
できることを確認します。たとえば、フィルタ(|(cn=Hyp*)(cn=Domain Users))は、
名前がHypで始まるグループとDomain Usersという名前のプライマリ・グループを取
得します。
1
EPM Systemセキュリティでは、構成値がオプションの一部のフィールドにデフォルト値が使用されます。そのようなフィールドに値を入力しない
場合、デフォルト値が実行時に使用されます。
12. 「終了」をクリックします。
Shared Servicesは構成を保存して、「定義済ユーザー・ディレクトリ」画面に戻ります。この画面には、今構成し
たユーザー・ディレクトリが表示されます。
13. 構成をテストします。 103ページのユーザー・ディレクトリの接続のテストを参照してください。
14. 必要に応じて、検索順の割当てを変更します。詳細は、 105ページのユーザー・ディレクトリの検索順の管
理を参照してください。
15. 必要に応じて、セキュリティ・オプションを指定します。 106ページのセキュリティ・オプションの設定を参照し
てください。
16. Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。
リレーショナル・データベースをユーザー・ディレクトリとして構
成する
Oracle、SQL Server、およびIBM DB2リレーショナル・データベースのシステム表からのユーザーおよびグループ情
報を使用して、プロビジョニングをサポートできます。グループ情報がデータベースのシステム・スキーマから取得でき
ない場合、Shared Servicesはそのデータベース・プロバイダからのグループのプロビジョニングはサポートしませ
ん。たとえば、Shared Servicesは、データベースがオペレーティング・システム上で定義されているグループを使用
するため、古いバージョンのIBM DB2からグループ情報を抽出できません。ただし、プロビジョニング・マネージャは
ネイティブ・ディレクトリのグループにこれらのユーザーを追加して、このグループをプロビジョニングできます。サポー
トされているプラットフォームの情報は、Oracle Enterprise Performance Management製品 - サポートされるプ
ラットフォームのメトリックを参照してください。
注:
DB2データベースを使用する場合、ユーザー名は8文字以上にする必要があります。Oracleおよび
SQL Serverデータベースの場合は256文字、DB2の場合は1000文字を超えないようにしてくだ
さい。
100
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
ユーザーおよびグループのリストを取得するには、データベース管理者、たとえば、Oracle SYSTEMユーザーとしてデー
タベースに接続できるようにShared Servicesを構成します。
注:
Shared Servicesは、プロビジョニングに対してアクティブなデータベース・ユーザーのみ取得しま
す。非アクティブでロックされているデータベース・ユーザー・アカウントは無視されます。
データベース・プロバイダを構成するには:
1.
2.
3.
4.
5.
システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services
Consoleの起動を参照してください。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
「追加」をクリックします。
「ディレクトリ・タイプ」画面で、「リレーショナル・データベース(Oracle、DB2、SQL Server)」を選択します。
「次へ」をクリックします。
6.
「データベースの構成」タブで、構成パラメータを入力します。
表11 「データベースの構成」タブ
ラベル
説明
データベース・タイプ
リレーショナル・データベース・プロバイダ。Shared Servicesは、データベース・プロバイダと
してOracle、IBM DB2、およびSQL Serverデータベースのみサポートしています。
例: Oracle
名前
データベース・プロバイダの一意の構成名。
例: Oracle_DB_FINANCE
サーバー
データベース・サーバーが稼働しているコンピュータのDNS名。
例: myserver
ポート
データベース・サーバーのポート番号
例: 1521
サービス/SID (Oracleの システム識別子(デフォルトはorcl)
み)
ユーザー・ディレクトリの構成
101
ラベル
説明
例: orcl
データベース(SQL Server Shared Servicesが接続する必要があるデータベース
およびDB2のみ)
例: master
ユーザー名
Shared Servicesがデータベースへのアクセスに使用するユーザー名。このデータベース・
ユーザーには、データベース・システム表へのアクセス権が必要です。Oracleデータベースに
はシステム・アカウント、SQL ServerおよびIBM DB2データベースにはデータベース管理者
のユーザー名を使用することをお薦めします。
例: SYSTEM
パスワード
「ユーザー名」でユーザーを識別するパスワード。
例: system_password
信頼済
7.
このプロバイダが信頼できるSSOソースであることを指定するチェック・ボックス。信頼でき
るソースからのSSOトークンにはユーザーのパスワードは含まれません。
オプション: 接続プールを構成するには、「次へ」をクリックします。
「詳細なデータベース構成」タブが開きます。
8.
「詳細なデータベース構成」タブで、接続プールのパラメータを入力します。
表12 「詳細なデータベース構成」タブ
ラベル
説明
最大接続数
プールの最大接続数。デフォルトは50です。
初期サイズ
プールを初期化する場合に使用可能な接続数。デフォルトは20です。
アイドル状態の接続許容
時間
オプション: 削除プロセスがプール内のアイドル状態の接続を除去するまでの許容時間。
デフォルトは10分です。
削除間隔
オプション: プールを消去するために削除プロセスを実行する間隔。削除はアイドル状態の
接続許容時間を超えたアイドル接続を除去します。デフォルトは5分です。
接続の拡大
接続プールが最大接続数を超える接続を保持できるかどうかを示します。デフォルトでは、こ
のオプションはクリアされており、接続は保持できないことを示します。接続プールが接続
を保持できず、接続がタイムアウトに設定された時間内に使用できない場合、システムはエ
ラーを返します。
102
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
ラベル
説明
カスタム認証モジュールを カスタム認証モジュールの使用を使用可能にして、このユーザー・ディレクトリで定義された
使用可能にする
ユーザーを認証するためのチェック・ボックス。認証モジュールの完全修飾Javaクラス名も、
「セキュリティ・オプション」画面で入力する必要があります。 106ページのセキュリティ・
オプションの設定を参照してください。
カスタム認証モジュールの認証は、シン・クライアントおよびシック・クライアントに対して透
過的に行われます。『Oracle Enterprise Performance Management Systemセキュリティ構
成ガイド』のカスタム認証モジュールの使用に関する項を参照してください。
9. 「終了」をクリックします。
10. 「定義済ユーザー・ディレクトリ」画面に戻るには、「OK」をクリックします。
11. データベース・プロバイダ構成をテストします。 103ページのユーザー・ディレクトリの接続のテストを参照して
ください。
12. 必要に応じて、検索順の割当てを変更します。詳細は、 105ページのユーザー・ディレクトリの検索順の管
理を参照してください。
13. 必要に応じて、セキュリティ設定を指定します。 106ページのセキュリティ・オプションの設定を参照してくだ
さい。
14. Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。
ユーザー・ディレクトリの接続のテスト
ユーザー・ディレクトリの構成後、Shared Servicesが現在の設定を使用してユーザー・ディレクトリに接続できること
を確認するため、接続をテストします。
ユーザー・ディレクトリ接続をテストするには:
1.
2.
3.
4.
システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services
Consoleの起動を参照してください。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
ユーザー・ディレクトリのリストから、テストする外部ユーザー・ディレクトリ構成を選択します。
「テスト」、「OK」の順にクリックします。
ユーザー・ディレクトリ設定の編集
管理者は名前以外のユーザー・ディレクトリ構成のパラメータを変更できます。プロビジョニング用に使用されていた
ユーザー・ディレクトリの構成データは編集しないことをお薦めします。
注意
たとえば、ユーザー・ディレクトリ構成のID属性などのいくつかの設定を編集すると、プロビジョニン
グ・データが使用不可になります。プロビジョニングされたユーザー・ディレクトリの設定を変更する
場合は、十分注意してください。
ユーザー・ディレクトリ構成を編集するには:
ユーザー・ディレクトリの構成
103
1.
2.
3.
4.
5.
システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services
Consoleの起動を参照してください。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
編集するユーザー・ディレクトリを選択します。
「編集」をクリックします。
構成設定を変更します。
注:
構成名は変更できません。LDAPユーザー・ディレクトリ構成を変更する場合、「ディレクトリ・サー
バー」リストから別のディレクトリ・サーバーや「その他」(カスタムLDAPディレクトリの場合)を選択で
きます。ネイティブ・ディレクトリ・パラメータは編集できません。
編集可能なパラメータの説明については、次の表を参照してください:
• Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリ:
○ 89ページの表 8
○ 95ページの表 9
○ 99ページの表 10
• データベース: 101ページの表 11を参照
6.
「OK」をクリックして、変更を保存します。
ユーザー・ディレクトリ構成の削除
システム管理者はユーザー・ディレクトリ構成をいつでも削除できます。構成を削除すると、ユーザー・ディレクトリから
取得されたユーザーおよびグループのプロビジョニング情報がすべて使用不可になり、検索順からディレクトリが除
去されます。
ヒント:
プロビジョニング用に使用された構成済のユーザー・ディレクトリを使用しない場合、ユーザーおよ
びグループの検索に使用されないように検索順から除去します。このアクションにより、プロビジョ
ニング情報の整合性を維持し、後でユーザー・ディレクトリを使用できます。
ユーザー・ディレクトリ構成を削除するには:
1.
2.
3.
4.
5.
6.
7.
104
システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services
Consoleの起動を参照してください。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
ディレクトリを選択します。
「削除」をクリックします。
「OK」をクリックします。
再度「OK」をクリックします。
Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
ユーザー・ディレクトリの検索順の管理
システム管理者が外部ユーザー・ディレクトリを構成すると、Shared Servicesにより自動的にユーザー・ディレクトリ
が検索順に追加され、ネイティブ・ディレクトリの検索順より上位の次の使用可能な検索順が割り当てられます。検
索順は、EPM Systemでユーザーとグループについて検索する際、構成されたユーザー・ディレクトリ間を循環するた
めに使用されます。
システム管理者はユーザー・ディレクトリを検索順から除去できます。この場合、Shared Servicesにより残りのディ
レクトリの検索順が自動的に再割当てされます。検索順に含まれないユーザー・ディレクトリは、認証およびプロビ
ジョニングのサポートに使用されません。
注:
Shared Servicesは、指定されたアカウントを検出するとユーザーまたはグループの検索を停止し
ます。EPM Systemユーザーの大部分が存在する企業ディレクトリを検索順の一番上に配置する
ことをお薦めします。
デフォルトでは、ネイティブ・ディレクトリは検索順の最後のディレクトリとして設定されます。管理者は検索順を管理
するために、次のタスクを実行できます。
• 105ページのユーザー・ディレクトリの検索順への追加
• 106ページの検索順の変更
• 105ページの検索順の割当ての除去
ユーザー・ディレクトリの検索順への追加
新規に構成されたユーザー・ディレクトリは、検索順に自動的に追加されます。検索順からディレクトリを除去した場
合、検索順の最後にそれを追加できます。
検索順にユーザー・ディレクトリを追加するには:
1.
2.
3.
4.
システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services
Consoleの起動を参照してください。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
検索順に追加する非アクティブなユーザー・ディレクトリを選択します。
「含む」をクリックします。
このボタンは、検索順にないユーザー・ディレクトリを選択している場合のみ使用可能です。
5.
6.
「定義済ユーザー・ディレクトリ」画面に戻るには、「OK」をクリックします。
Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。
検索順の割当ての除去
検索順からユーザー・ディレクトリを除去してもディレクトリ構成が無効にならず、ユーザー認証のために検索される
ディレクトリのリストからユーザー・ディレクトリが除去されます。検索順に含まれないディレクトリは、「非アクティブ」ス
ユーザー・ディレクトリの構成
105
テータスに設定されます。管理者が検索順からユーザー・ディレクトリを除去すると、他のユーザー・ディレクトリに割り
当てられている検索順は自動的に更新されます。
注:
ネイティブ・ディレクトリは検索順から削除できません。
検索順からユーザー・ディレクトリを除去するには:
1.
2.
3.
4.
5.
6.
7.
システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services
Consoleの起動を参照してください。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
検索順から除去するディレクトリを選択します。
「除外」をクリックします。
「OK」をクリックします。
「ディレクトリの構成結果」画面で「OK」をクリックします。
Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。
検索順の変更
各ユーザー・ディレクトリに割り当てられているデフォルトの検索順は、ディレクトリが構成されたシーケンスに基づき
ます。デフォルトでは、ネイティブ・ディレクトリは検索順の最後のディレクトリとして設定されます。
検索順を変更するには:
1.
2.
3.
4.
5.
6.
システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services
Consoleの起動を参照してください。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
検索順を変更するユーザー・ディレクトリを選択します。
「上へ移動」または「下へ移動」をクリックします。
「OK」をクリックします。
Foundation Servicesとその他のEPM Systemコンポーネント、およびShared ServicesセキュリティAPIを
使用するカスタム・アプリケーションを再起動します。
セキュリティ・オプションの設定
セキュリティ・オプションは、検索順に含まれるすべてのユーザー・ディレクトリに適用可能なグローバル・パラメータか
ら構成されています。
セキュリティ・オプションを設定するには:
1.
2.
3.
4.
106
システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services
Consoleの起動を参照してください。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
「セキュリティ・オプション」を選択します。
「セキュリティ・オプション」では、グローバル・パラメータを設定します。
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
表13 ユーザー・ディレクトリ用のセキュリティ・オプション
パラメータ
説明
トークンのタイムアウト
EPM System製品またはWebアイデンティティ管理ソリューションが発行元となる
SSOトークンの期限が切れるまでの時間(分)。ユーザーは、この期間が過ぎてからロ
グインする必要があります。トークンのタイムアウトは、サーバーのシステム・クロック
に基づいて設定されます。デフォルトは480分です。
注:
トークンのタイムアウトは、セッションのタイムアウトとは異なります。
キャッシュのリフレッシュ間隔
Shared Servicesのグループ・キャッシュをユーザー関係データにリフレッシュする間
隔(分)。デフォルトは60分です。
Shared Servicesでは、次のキャッシュ・リフレッシュ後にのみ、新しい外部ユー
ザー・ディレクトリ・グループと、既存のグループに追加された新しいユーザーに関する
情報がキャッシュされます。新規に作成された外部ユーザー・ディレクトリ・グループ
を通じてプロビジョニングされたユーザーの役割は、キャッシュがリフレッシュされる
までプロビジョニングされません。
今すぐリフレッシュ
グループを含むShared Servicesキャッシュのユーザー関係データへのリフレッシュ
を手動で開始するには、このボタンをクリックします。外部ユーザー・ディレクトリに新
規グループを作成し、それらをプロビジョニングした後、または新規ユーザーを既存
のグループに追加した後に、キャッシュ・リフレッシュを開始することが必要な場合が
あります。キャッシュは、Shared Servicesによってキャッシュ内のデータを使用する
呼出しが行われた後にのみリフレッシュされます。
SSO互換性の有効化
ユーザー・ディレクトリの構成
デプロイメントがOracle Business Intelligence Enterprise Editionリリース11.
1.1.5以前と統合した場合は、このオプションを選択します。
107
パラメータ
説明
委任されたユーザー管理モードを
使用可能にする
EPM System製品の委任されたユーザー管理を使用可能にし、配布されたプロビ
ジョニング・アクティビティの管理をサポートするオプション。『Oracle Enterprise
SSOの使用可能
Oracle Access Managerなどのセキュリティ・エージェントからのSSOのサポート
を使用可能にするオプション
SSOプロバイダ/エージェント
EPM System製品がSSOを受け入れる必要のあるWebアイデンティティ管理ソ
リューションを選択します。Webアイデンティティ管理ソリューション(Kerberosなど)
Performance Management Systemユーザー・セキュリティ管理ガイド』の委任されたユー
ザー管理に関する項を参照してください。
がリストされていない場合、「その他」を選択します。
SSOプロバイダを選択すると、希望するSSOメカニズムと名前が自動的に選択され
ます。必要に応じて、SSOメカニズム(HTTPヘッダーまたはカスタム・ログイン・クラ
ス)の名前を変更できます。
SSOプロバイダまたはエージェントとして「その他を選択した場合、EPM Systemの
サポートするSSOメカニズムをサポートすることを確認する必要があります。『Oracle
Enterprise Performance Management Systemセキュリティ構成ガイド』のサポートされ
るSSOメソッドに関する項を参照してください。
SSOメカニズム
ユーザーのログイン名をEPM System製品に提供するために選択したWebアイデ
ンティティ管理ソリューションで使用されるメソッド。受入れ可能なSSOメソッドの説
明は、『Oracle Enterprise Performance Management Systemセキュリティ構成ガイ
ド』のサポートされているSSOメソッドに関する項を参照してください。
• カスタムHTTPヘッダー: セキュリティ・エージェントがEPM Systemに渡すヘッダー
の名前を設定します。
• カスタム・ログイン・クラス: 認証用のHTTP要求を処理するカスタムJavaクラスを
指定します。『Oracle Enterprise Performance Management Systemセキュリティ
構成ガイド』のカスタム・ログイン・クラスに関する項を参照してください。
注:
カスタム・ログイン・クラスは、カスタム認証と同じではありません。
• HTTP認証ヘッダー: 標準HTTPメカニズム。
• HTTP要求からリモート・ユーザーを取得: セキュリティ・エージェントによってHTTP
要求にリモート・ユーザーが挿入される場合、このオプションを選択します。
カスタム認証モジュール
認証モジュールで、カスタム認証モジュールが選択されているすべてのユーザー・
ディレクトリでユーザーの認証に使用される必要があるカスタム認証モジュールの完
全修飾Javaクラス名(たとえば、com.mycompany.epm.CustomAuthentication
Impl)。 認証モジュールは、ディレクトリ構成で使用可能(デフォルト)である場合に
のみ、ユーザー・ディレクトリに使用されます。 Foundation Servicesでは、カスタ
ム認証JARファイルの名前がcustomAuth.jarである必要があります。Custom
Auth.jarは次のように配置する必要があります:
108
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
パラメータ
説明
• WebLogic: CustomAuth.jarをEPM_ORACLE_HOME/user_projects/
domains/WEBLOGIC_DOMAIN/lib (通常Oracle/Middleware/user_
projects/domains/EPMSystem/lib)にコピーします。
• WebSphere: CustomAuth.jarをEPM_ORACLE_HOME/common/jlib/11.1.
2.0 (通常Oracle/Middleware/common/jlib/11.1.2.0)にコピーします。
JARファイル内では任意のパッケージ構造およびクラス名を使用できます。 詳細
は、『Oracle Enterprise Performance Management Systemセキュリティ構成ガイド』の
カスタム認証モジュールの使用に関する項を参照してください。
5.
6.
「OK」をクリックします。
Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。
暗号化鍵の再生成
EPM Systemでは、次のキーを使用してセキュリティを保証します。
• シングル・サインオン暗号化鍵。EPM System SSOトークンの暗号化と復号化に使用されます。このキー
は、Shared Servicesレジストリに保管されます
• 信頼できるサービス・キー。EPM Systemコンポーネントで、SSOトークンを要求しているサービスの認証の確認に
使用されます
• プロバイダ構成暗号化鍵。EPM Systemセキュリティで、構成されている外部ユーザー・ディレクトリとのバインド
に使用されるパスワード(LDAP対応ユーザー・ディレクトリのユーザーDNパスワード)の暗号化に使用されます。こ
のパスワードは、外部ユーザー・ディレクトリの構成時設定されます。
EPM Systemセキュリティを強化するために、これらのキーを定期的に変更します。
注意
シングル・サインオン暗号化鍵の再生成時、Financial Management、Performance
Management ArchitectおよびProfitability and Cost Managementで使用されるタスクフ
ローは無効化されます。鍵を再生成した後に、タスクフローを開いて保存して再度有効にします。
シングル・サインオン暗号化鍵、プロバイダ構成キーまたは信頼できるサービス・キーを再生成するには:
1.
2.
3.
4.
システム管理者としてShared Services Consoleにアクセスします。 17ページのShared Services
Consoleの起動を参照してください。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
「暗号化オプション」を選択します。
「暗号化オプション」で、再生成するキーを選択します。
表14 EPM Systemの暗号化オプション
オプション
説明
シングル・サインオン・トークン
EPM System SSOトークンの暗号化と復号化に使用さ
れる暗号化鍵を再生成する場合に選択します。 「セキュリ
ユーザー・ディレクトリの構成
109
オプション
説明
ティ・オプション」で「SSO互換性の使用可能化」が設定さ
れている場合、次のいずれかのボタンを選択します。
• 新規SSOトークン暗号化鍵を作成する場合、「新しい
キーの生成」。
• デフォルトのSSOトークン暗号化鍵をリストアする場
合、「デフォルトにリセット」。
注:
デフォルトの暗号化鍵に戻す場合は、既存のキース
トア・ファイル(EPM_ORACLE_HOME/common/CSS/ss
HandlerTK)を、すべてのEPM Systemホスト・マシンか
ら削除する必要があります。
信頼できるサービス・キー
EPM Systemコンポーネントで、SSOトークンを要求してい
るサービスの認証の確認に使用される信頼できる認証キー
を再生成する場合、このオプションを選択します。
プロバイダ構成キー
EPM Systemセキュリティで、構成されている外部ユー
ザー・ディレクトリとのバインドに使用されるパスワード
(LDAP対応ユーザー・ディレクトリのユーザーDNパスワー
ド)の暗号化に使用されるキーを再生成する場合、このオプ
ションを選択します。このパスワードは、外部ユーザー・ディレ
クトリの構成時設定されます。
5.
6.
「OK」をクリックします。
SSO暗号化キーを新たに生成する場合、この手順を完了させます。
a.
b.
7.
「ダウンロード」をクリックします。
「OK」をクリックして、ssHandlerTK(新規SSO暗号化鍵をサポートするキーストア・ファイル)を
Foundation Servicesをホストするサーバーのフォルダに保存します。
c. ssHandlerTKをすべてのEPM Systemホスト・マシン上のEPM_ORACLE_HOME/common/CSSにコピーし
ます。
Foundation Servicesとその他のEPM Systemコンポーネントを再起動します。
特殊文字の使用方法
Active Directoryおよびその他のLDAPベースのユーザー・ディレクトリでは、DN、ユーザー名、役割およびグループ
名などのエンティティで特殊文字が使用可能です。このような文字を理解させるには、Shared Servicesに対して
特別な処理が必要になる場合があります。
通常、ユーザー・ディレクトリ設定(ベースDNやユーザーおよびグループのURLなど)で特殊文字を指定する場合は、
エスケープ文字を使用する必要があります。 110ページの表 15は、ユーザー名、グループ名、ユーザーURL、グ
ループURL、およびユーザーDNのOUの値で使用可能な特殊文字をリストしています。
表15 サポートされる特殊文字
文字
(
110
1
名前または意味
文字
名前または意味
左カッコ
$
ドル
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
文字
1
名前または意味
文字
名前または意味
)
右カッコ
+
プラス
"
二重引用符
&
アンパサンド
'
一重引用符
\
円記号(バックスラッシュ)
,
カンマ
^
脱字記号
=
次と等しい
;
セミコロン
<
次より小さい
#
ポンド
>
次より大きい
@
アット記号
1
ベースDN内の組織単位名に/(スラッシュ)を使用しないでください
• 特殊文字はログイン・ユーザー属性の値には使用できません。
• アスタリスク(*)は、ユーザー名、グループ名、ユーザーURL、グループURL、またはユーザーDNのOU名には使用で
きません。
• 特殊文字の組合せを含んだ属性値は使用できません。
• アンパサンド(&)は、エスケープ文字なしで使用できます。Active Directoryの設定では、&は&amp;のように指
定する必要があります。
• ユーザー名とグループ名には円記号(バックスラッシュ)(\)とスラッシュ(/)の両方を使用できません。たとえ
ば、test/\userやnew\test/userのような名前は使用できません。
表16 エスケープする必要がない文字
文字
名前または意味
文字
名前または意味
(
左カッコ
'
一重引用符
)
右カッコ
^
脱字記号
$
ドル
@
アット記号
&1
アンパサンド
1
&amp;のように記述されている必要があります。
これらの文字は、ユーザー・ディレクトリの設定(ユーザー名、グループ名、ユーザーURL、グループURLおよびユーザー
DN)で使用する場合にエスケープされる必要があります。
表17 ユーザー・ディレクトリ構成設定における特殊文字のエスケープ
特殊文字
エスケープ
サンプル設定
エスケープの例
カンマ(,)
円記号(バックスラッシュ)
(\)
ou=test,ou
ou=test\,ou
プラス符号(+)
円記号(バックスラッシュ)
(\)
ou=test+ou
ou=test\+ou
次と等しい(=)
円記号(バックスラッシュ)
(\)
ou=test=ou
ou=test\=ou
ポンド(#)
円記号(バックスラッシュ)
(\)
ou=test#ou
ou=test\#ou
ユーザー・ディレクトリの構成
111
特殊文字
エスケープ
サンプル設定
エスケープの例
セミコロン(;)
円記号(バックスラッシュ)
(\)
ou=test;ou
ou=test\;ou
次より小さい(<)
\<
ou=test<ou
ou=test\&lt;ou
次より大きい(>)
\>
ou=test>ou
ou=test\&gt;ou
" (二重引用符)
\\ (二重円記号(バックス
ラッシュ))
ou=test"ou
ou=test\\"ou
\ (円記号(バックスラッ
シュ))2
\\\ (三重円記号(バックス ou=test\ou
ラッシュ))
1
1
ou=test\\\\ou
ユーザーDNでは、二重引用符(")は、1つの円記号(バックスラッシュ)でエスケープされる必要があります。たとえばou=test”ouは、ユーザーDN
ではou=test\”ouと指定する必要があります。
2
ユーザーDNでは、円記号(バックスラッシュ)(\)は、1つの円記号(バックスラッシュ)でエスケープされる必要があります。たとえばou=test
\ouは、ユーザーDNではou=test\\ouと指定する必要があります。
注意
ユーザーURLが指定されていない場合、RDNルート内で作成されるユーザーに/ (スラッシュ)また
は\ (円記号(バックスラッシュ))が含まれていてはいけません。同様に、グループURLが指定され
ない場合、これらの文字はRDNルート内に作成されたグループ名で使用してはいけません。たと
えば、OU=child\ou,OU=parent/ouまたはOU=child/ou,OU=parent\ouなどのグループ名は、
サポートされません。この問題は、ユーザー・ディレクトリ構成のID属性に一意の属性を使用してい
る場合は該当しません。
112
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
5
カスタム認証モジュールの使用方法
この項の内容:
概要 ....................................................................................................................................
使用事例の例と制限 ..............................................................................................................
前提条件 ..............................................................................................................................
設計およびコーディングに関する考慮事項 ..................................................................................
カスタム認証モジュールのデプロイ ............................................................................................
113
115
115
115
120
概要
カスタム認証モジュールは、EPM Systemユーザーを認証するためにユーザーが開発および実行するJavaモジュー
ルです。通常、EPM System製品では、ユーザー名とパスワードの取得にログオン画面が使用されます。ユーザー名
とパスワードはユーザーの認証に使用されます。EPM System認証を使用するかわりに、カスタム認証モジュールを
使用してユーザーを認証し、その後の処理のために認証済ユーザー資格証明をEPM Systemに渡すことができま
す。カスタム認証モジュールの実装にはEPM System製品の変更は含まれません。
カスタム認証モジュールは、シック・クライアント(Oracle Smart View for OfficeおよびOracle Essbase Studio
など)とシン・クライアント(EPM Workspaceなど)の両方で使用できます。
カスタム認証モジュールは、ユーザーがEPM System製品にログインする際に入力する情報を使用します。ユー
ザー・ディレクトリに対して使用可能な場合、カスタム認証モジュールを使用してユーザーを認証します。ユーザーを正
しく認証できた場合、カスタム認証モジュールはEPM Systemにユーザー名を戻します。
次の図は、カスタム認証のシナリオの例を示しています:
カスタム認証モジュールの使用方法
113
たとえば、RSA SecurIDインフラストラクチャをカスタム・プロバイダとして使用し、EPM Systemへの透過的で強
力な認証を確保します。概要:
1. ユーザーは資格証明(通常、ユーザー名とパスワード)を入力してEPM System製品にアクセスします。これらの
資格証明は、カスタム認証モジュールで使用されるプロバイダに対してユーザーを一意に識別する必要がありま
す。たとえば、RSA SecurIDインフラストラクチャを使用してユーザーを認証する場合、ユーザーはRSAユーザー
IDとPIN(EPM SystemユーザーIDおよびパスワードではなく)を入力します。
2. 検索順序( 115ページの検索順序を参照)を使用すると、 EPM Systemは構成済ユーザー・ディレクトリ内を
循環し、ユーザーを検索します。
• 現在のユーザー・ディレクトリがカスタム認証用に構成されていない場合、EPM Systemは、EPM System認
証を使用してユーザーを検索し、認証しようとします。
• ユーザー・ディレクトリがカスタム認証用に構成されている場合、EPM Systemは認証プロセスをカスタム・モ
ジュールに委任します。
3. EPM Systemが認証をカスタム・モジュールに委任した場合、カスタム認証モジュールは資格証明を受け入れ、
その独自のロジックを使用してカスタム・プロバイダ(RSA SecurIDインフラストラクチャなど)に対してユーザー
認証を送ります。
4. カスタム認証モジュールでそのプロバイダに対してユーザーが認証される場合、ユーザー名がEPM Systemに戻
されるか、Java例外が戻されます。
カスタム認証モジュールで戻されるユーザー名は、カスタム認証で使用可能なユーザー・ディレクトリのユーザー名
と同一である必要があります。
• カスタム認証モジュールでユーザー名が戻された場合、EPM Systemは、カスタム認証で使用可能なユー
ザー・ディレクトリでユーザーを検索します。この段階では、EPM Systemはカスタム認証用に構成されていな
いユーザー・ディレクトリは検索しません。
114
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
• カスタム認証モジュールで例外がスローされるか、nullユーザーが戻された場合、EPM Systemは、カスタム
認証が使用可能になっていない、検索順序の残りのユーザー・ディレクトリ内でユーザーの検索を続行します。
資格証明が一致するユーザーが見つからない場合、EPM Systemにエラーが表示されます。
使用事例の例と制限
カスタム認証の実装シナリオには、次のようなものがあります:
• ワンタイム・パスワード・サポートの追加
• Resource Access Control Facility (RACF)に対する認証の実行
• 簡単なLDAPバインドのかわりにSimple Authentication and Security Layer (SASL)バインドをLDAP対応
ユーザー・ディレクトリに追加
チャレンジ/応答メカニズムの認証は、カスタム認証モジュールを実装している場合、うまく機能しない可能性があり
ます。カスタム認証モジュールによってスローされたカスタム・メッセージは、クライアントに伝播されません。クライア
ント(EPM Workspaceなど)が通常のメッセージを表示するためにエラー・メッセージをオーバーライドするので、次の
シナリオは有効ではありません:
• 2つの連続するRSA SecurID PIN
• チャレンジのパスワード変形(パスワードの最初、最後および3番目の文字の入力など)
前提条件
• CustomAuth.jarという完全にテストされたJavaアーカイブには、カスタム認証モジュール・ライブラリが含ま
れます。CustomAuth.jarは、標準Shared Services APIの一部としてcom.hyperion.cssパッケージで
定義される、パブリック・インタフェースCSSCustomAuthenticationIFを実装する必要があります。http://
download.oracle.com/docs/cd/E12825_01/epm.111/epm_security_api_11111/client/com/
hyperion/css/CSSCustomAuthenticationIF.htmlを参照してください。
• Shared Services管理者としてのShared Servicesへのアクセス権
設計およびコーディングに関する考慮事項
サブトピック
• 検索順序
• ユーザー・ディレクトリおよびカスタム認証モジュール
• CSSCustomAuthenticationIF Javaインタフェース
検索順序
ネイティブ・ディレクトリ以外に、複数のユーザー・ディレクトリをShared Servicesに構成することができます。デ
フォルトの検索順序の位置は、すべての構成済ユーザー・ディレクトリに割り当てられます。検索順序をShared
カスタム認証モジュールの使用方法
115
Services Consoleから変更できます。ネイティブ・ディレクトリを除き、構成済ユーザー・ディレクトリは検索順序か
ら除去できます。EPM Systemでは検索順序に含まれていないユーザー・ディレクトリは使用されません。『Oracle
Enterprise Performance Management Systemユーザー・セキュリティ管理ガイド』を参照してください。
検索順序により、ユーザーの認証のためにEPM Systemがユーザー・ディレクトリ内を循環する順序が決定されます。
ユーザーがユーザー・ディレクトリ内で認証されている場合、EPM Systemは検索を停止し、ユーザーを戻します。ユー
ザーが検索順序内のユーザー・ディレクトリに対して認証されていない場合、EPM Systemは認証を拒否してエラー
を戻します。
検索順序でのカスタム認証の影響
カスタム認証は、EPM Systemセキュリティによる検索順序の解釈に影響を及ぼします。
カスタム認証モジュールでユーザー名が戻された場合、EPM Systemは、カスタム認証で使用可能なユーザー・ディ
レクトリのみでユーザーを検索します。この段階では、EPM Systemはカスタム認証用に構成されていないユーザー・
ディレクトリを無視します。
カスタム認証のフローについて
次の使用事例シナリオを、カスタム認証のフローを調査するために使用します:
• 116ページの使用事例シナリオ1
• 117ページの使用事例シナリオ2
• 118ページの使用事例シナリオ3
使用事例シナリオ1
116ページの表 18は、このシナリオで使用されるEPM Systemユーザー・ディレクトリの構成と検索順序の詳細
です。このシナリオでは、カスタム認証モジュールがRSAインフラストラクチャを使用してユーザーを認証すると仮定
します。
表18 シナリオ1の設定
1
ユーザー・ディレクトリ 検索順序
のタイプと名前
カスタム認証
サンプル・ユーザー名 パスワード
ネイティブ・ディレクト
リ
使用不可
test_user_1
1
password
test_user_2
test_user_3
LDAP対応
SunONE_West
2
使用不可
test_ldap1
test_ldap_2
test_user_3
116
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
ldappassword
ユーザー・ディレクトリ 検索順序
のタイプと名前
カスタム認証
1
サンプル・ユーザー名 パスワード
test_ldap_4
LDAP対応
3
使用可能
SunONE_East
test_ldap1
test_ldap_2
test_user_3
SunONEで
はldappassword、カ
スタム・モジュールで
はRSA PIN
1
単純化するため、すべてのユーザーが同じユーザー・ディレクトリ・パスワードを使用すると仮定します。
認証プロセスを開始するには、ユーザーはEPM System製品のログオン画面でユーザー名とパスワードを入力しま
す。
このシナリオでは、カスタム認証モジュールは次のアクションを実行します:
• ユーザー名とRSA PINをユーザー資格証明として受け入れます
• ユーザー名をusername@providername形式(たとえば、test_ldap_2@SunONE_East)でEPM Systemセキュリ
ティに戻します
表19 ユーザーのやりとりと結果
ユーザー名およびパスワード
認証結果
ログイン・ユーザー・ディレクトリ
test_user_1/password
成功
ネイティブ・ディレクトリ
test_user_3/password
成功
ネイティブ・ディレクトリ
test_user_3/ldappassword
成功
SunONE_West (検索順序2)1
test_user_3/RSA PIN
成功
SunONE_East (検索順序3)2
test_ldap_2/ldappassword
成功
SunONE_West (検索順序2)
test_ldap_4/RSA PIN
失敗
EPM Systemに認証エラーが表示さ
れます。3
1
ユーザーはEPM System資格証明を入力したので、カスタム認証ではこのユーザーは認証できません。EPM Systemはカスタム認証で使用
可能でないユーザー・ディレクトリでのみこのユーザーを識別できます。ユーザーはネイティブ・ディレクトリ(検索順序番号1)にはなく、SunONE
West(検索順序番号2)で識別されます。
2
EPM Systemは、このユーザーをネイティブ・ディレクトリ(検索順序番号1)またはSunONE West(検索順序番号2)で見つけられません。カスタ
ム認証モジュールではRSAサーバーに対してユーザーを検証し、test_user_3@SunONE_EASTをEPM Systemに戻します。EPM Systemはユー
ザーをSunONE East(検索順序番号3)で検索します。これはカスタム認証が有効なディレクトリです。
3
カスタム・モジュールで認証されているユーザーはすべて、検索順序に含まれるカスタム認証が有効なユーザー・ディレクトリに含めることをお薦
めします。カスタム認証モジュールで戻されるユーザー名が、検索順序に含まれるカスタム認証が有効なユーザー・ディレクトリにない場合、ログイ
ンは失敗します。
使用事例シナリオ2
118ページの表 20は、このシナリオで使用されるEPM Systemユーザー・ディレクトリの構成と検索順序の詳細
です。このシナリオでは、カスタム認証モジュールがRSAインフラストラクチャを使用してユーザーを認証すると仮定
します。
このシナリオでは、カスタム認証モジュールは次のアクションを実行します:
カスタム認証モジュールの使用方法
117
• ユーザー名とRSA PINをユーザー資格証明として受け入れます
• ユーザー名(たとえば、test_ldap_2)をEPM Systemセキュリティに戻します。
表20 検索順序の例
1
ユーザー・ディレクトリ 検索順序
カスタム認証
サンプル・ユーザー名 パスワード
ネイティブ・ディレクト
リ
使用不可
test_user_1
1
password
test_user_2
test_user_3
LDAP対応(たとえ
ば、SunONE)
2
使用可能
test_ldap1
test_ldap2
test_user_3
SunONEで
はldappassword、カ
スタム・モジュールで
はRSA PIN
1
単純化するため、すべてのユーザーが同じユーザー・ディレクトリ・パスワードを使用すると仮定します。
認証プロセスを開始するには、ユーザーはEPM System製品のログイン画面でユーザー名とパスワードを入力しま
す。
表21 ユーザーのやりとりと結果
ユーザー名およびパスワード
ログイン結果
ログイン・ユーザー・ディレクトリ
test_user_1/password
成功
ネイティブ・ディレクトリ
test_user_3/password
成功
ネイティブ・ディレクトリ
test_user_3/ldappassword
失敗
SunONE1
test_user_3/RSA PIN
成功
SunONE2
1
ネイティブ・ディレクトリに対するユーザーの認証は、パスワードが一致していないために失敗します。カスタム認証モジュールを使用したユーザー
の認証は、使用されたパスワードが有効なRSA PINではないため失敗します。EPM Systemは、カスタム認証設定がこのディレクトリのEPM
System認証をオーバーライドしたため、SunONE (検索順序2)でこのユーザーの認証を試行しません。
2
ネイティブ・ディレクトリに対するユーザーの認証は、パスワードが一致していないために失敗します。カスタム認証モジュールによりユーザーが認
証され、ユーザー名test_user_3がEPM Systemに戻されます。
使用事例シナリオ3
118ページの表 22は、このシナリオで使用されるEPM Systemユーザー・ディレクトリの構成と検索順序の詳細
です。このシナリオでは、カスタム認証モジュールがRSAインフラストラクチャを使用してユーザーを認証すると仮定
します。
このようなシナリオの明確さのため、カスタム認証モジュールがユーザー名をusername@providername形式(たと
えば、test_ldap_4@SunONE)で戻すことをお薦めします。
表22 検索順序の例
1
ユーザー・ディレクトリ 検索順序
カスタム認証
サンプル・ユーザー名 パスワード
ネイティブ・ディレクト
リ
使用可能
test_user_1
118
1
test_user_2
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
RSA_PIN
ユーザー・ディレクトリ 検索順序
カスタム認証
1
サンプル・ユーザー名 パスワード
test_user_3
LDAP対応(たとえ
ば、MSAD)
2
使用不可
test_ldap1
ldappassword
test_ldap4
test_user_3
LDAP対応(たとえ
ば、SunONE)
3
使用可能
test_ldap1
test_ldap4
test_user_3
SunONEで
はldappassword、カ
スタム・モジュールで
はRSA PIN
1
単純化するため、すべてのユーザーが同じユーザー・ディレクトリ・パスワードを使用すると仮定します。
認証プロセスを開始するには、ユーザーはEPM System製品のログオン画面でユーザー名とパスワードを入力しま
す。
表23 ユーザーのやりとりと結果
ユーザー名およびパスワード
認証結果
ログイン・ユーザー・ディレクトリ
test_user_1/password
成功
ネイティブ・ディレクトリ
test_user_3/RSA_PIN
成功
ネイティブ・ディレクトリ
test_user_3/ldappassword
成功
MSAD (検索順序2)
test_ldap_4/ldappassword
成功
MSAD (検索順序2)
test_ldap_4/RSA PIN
成功
SunONE (検索順序3)
ユーザー・ディレクトリおよびカスタム認証モジュール
カスタム認証モジュールを使用するには、EPM Systemユーザーおよびグループ情報を含むユーザー・ディレクトリを、
カスタム・モジュールに認証を委任するよう個別に構成できます。
カスタム・モジュールを使用して認証されたEPM Systemユーザーは、検索順序( 115ページの検索順序を参照)
に含まれたユーザー・ディレクトリの1つに含まれている必要があります。また、ユーザー・ディレクトリは、認証をカスタ
ム・モジュールに委任するよう構成されている必要があります。
カスタム・プロバイダのユーザーのアイデンティティ(たとえば、RSA SecurIDインフラストラクチャの1357642)
は、Shared Servicesで構成されるユーザー・ディレクトリのユーザー名(たとえば、Oracle Internet Directory
のjDoe)と異なる場合があります。ユーザーの認証後、カスタム認証モジュールは、ユーザー名jDoeをEPM System
に戻す必要があります。
注:
ベスト・プラクティスとして、EPM Systemで構成されるユーザー・ディレクトリのユーザー名は、カス
タム認証モジュールで使用されるユーザー・ディレクトリで使用可能なものと同一にすることをお薦
めします。
カスタム認証モジュールの使用方法
119
CSSCustomAuthenticationIF Javaインタフェース
カスタム認証モジュールは、EPM Systemセキュリティ・フレームワークとの統合にCSSCustomAuthenticationIF
Javaインタフェースを使用する必要があります。カスタム認証が成功した場合はユーザー名の文字列を、認証が失
敗した場合はエラー・メッセージを戻す必要があります。認証プロセスが完了した場合、カスタム認証モジュールに
よって戻されたユーザー名は、Shared Services検索順序に含まれるユーザー・ディレクトリの1つに存在する必要が
あります。EPM Systemセキュリティ・フレームワークでは、username@providerName形式がサポートされています。
注:
カスタム認証モジュールが戻すユーザー名に* (アスタリスク)を含めないでください。EPM System
セキュリティ・フレームワークがユーザーの検索中にワイルドカード文字と解釈します。
CSSCustomAuthenticationIFインタフェース・シグネチャについては、 131ページのサンプル・コード1を参照し
てください。
使用するカスタム認証モジュールは、CustomAuth.jarに含める必要があるクラス・ファイルにできます。パッケージ
構造は重要ではありません。
CSSCustomAuthenticationIFインタフェースの詳細は、セキュリティAPIのドキュメントを参照してください。
CSSCustomAuthenticationIFのauthenticateメソッドではカスタム認証がサポートされます。authenticateメ
ソッドは、EPM Systemにアクセスしようとする際にユーザーが入力した資格証明(ユーザー名とパスワード)を入力パ
ラメータとして受け入れます。このメソッドは、カスタム認証が成功した場合に文字列(ユーザー名)を戻します。認証に
失敗した場合はjava.lang.Exceptionをスローします。メソッドにより戻されるユーザー名は、Shared Services検
索順序に含まれるユーザー・ディレクトリの1つでユーザーを一意に識別する必要があります。EPM Systemセキュリ
ティ・フレームワークでは、username@providerName形式がサポートされています。
注:
リソース(たとえば、JDBC接続プール)を初期化するには、クラス・コンストラクタを使用します。これ
により、認証のたびにリソースをロードすることがなくなり、パフォーマンスが向上します。
カスタム認証モジュールのデプロイ
サブトピック
• 手順の概要
• Shared Servicesでの設定の更新
• デプロイメントのテスト
EPM Systemデプロイメントには、1つのカスタム・モジュールのみサポートされます。検索順序の1つ以上のユー
ザー・ディレクトリに付いてカスタム認証を有効にできます。
カスタム認証モジュールは、com.hyperion.cssパッケージで定義されるパブリック・インタフェースCSSCustom
AuthenticationIFを実装する必要があります。このドキュメントでは、選択したユーザー・プロバイダに対してユー
120
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
ザーを認証するロジックを定義する完全な機能のカスタム・モジュールを持っていることを前提としています。カスタ
ム認証モジュールを開発およびテストした後、EPM System環境で実装する必要があります。
手順の概要
カスタム認証コードではエラー・ロギングにlog4jを使用しないでください。以前のリリースで使用したコードでlog4jを
使用している場合は、このリリースで使用する前に、コードから削除する必要があります。
カスタム認証モジュールを実装するには、次の手順を実行します:
• EPM System製品を停止します。これには、Shared ServicesとShared Services APIを使用するシステムが
含まれます。
• カスタム認証モジュールのJavaアーカイブCustomAuth.jarを次のデプロイメントにコピーします:
○WebLogic: CustomAuth.jarをEPM_ORACLE_HOME/user_projects/domains/WEBLOGIC_DOMAIN/lib
(通常Oracle/Middleware/user_projects/domains/EPMSystem/lib)にコピーします。
カスタム認証モジュールの実装を含んだリリース11.1.2.0または11.1.2.1からアップグレードしている場
合、CustomAuth.jarをEPM_ORACLE_HOME/common/jlib/11.1.2.0からEPM_ORACLE_HOME/user_
projects/domains/WEBLOGIC_DOMAIN/libに移動します。
○WebSphere: CustomAuth.jarをEPM_ORACLE_HOME/common/jlib/11.1.2.0 (通常Oracle/
Middleware/common/jlib/11.1.2.0)にコピーします。
• Shared Servicesのユーザー・ディレクトリ設定を更新します。 121ページのShared Servicesでの設定の更
新を参照してください。
• Shared Servicesを開始してから、その他のEPM System製品を開始します。
• 実装をテストします。 122ページのデプロイメントのテストを参照してください。
Shared Servicesでの設定の更新
サブトピック
• ユーザー・ディレクトリ構成の更新
• セキュリティ・オプションの更新
デフォルトでは、カスタム認証は、すべてのユーザー・ディレクトリで使用不可です。デフォルトの動作をオーバーライド
して、特定の外部ユーザー・ディレクトリまたはネイティブ・ディレクトリに対して、カスタム認証を使用可能にできます。
ユーザー・ディレクトリ構成の更新
カスタム認証を使用可能にするユーザー・ディレクトリの構成を更新する必要があります。
ユーザー・ディレクトリ構成を更新するには:
1.
2.
3.
Foundation Servicesを起動します。
システム管理者としてShared Services Consoleにアクセスします。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
カスタム認証モジュールの使用方法
121
4.
「定義済ユーザー・ディレクトリ」画面で、カスタム認証設定を変更するユーザー・ディレクトリを選択します。
注:
EPM Systemは、検索順序に含まれたユーザー・ディレクトリのみを使用します。
5.
6.
7.
8.
9.
「編集」をクリックします。
「詳細オプションの表示」を選択します。
「カスタム・モジュール」で、「認証モジュール」を選択し、現在のユーザー・ディレクトリに対してカスタム・モジュー
ルを使用可能にします。
「終了」をクリックします。
この手順を繰り返して、検索順序に含まれる他のユーザー・ディレクトリの構成を更新します。
セキュリティ・オプションの更新
CustomAuth.jarがEPM_ORACLE_HOME/user_projects/domains/WEBLOGIC_DOMAIN/libで使用可能である
ことを確認してから、次の手順を開始してください。
セキュリティ・オプションを更新するには:
1.
2.
3.
4.
5.
6.
システム管理者としてShared Services Consoleにアクセスします。
「管理」、「ユーザー・ディレクトリの構成」の順に選択します。
「セキュリティ・オプション」を選択します。
「詳細オプションの表示」を選択します。
認証モジュールで、カスタム認証モジュールが選択されるすべてのユーザー・ディレクトリでユーザーの認証に使
用されるカスタム認証モジュールの完全修飾クラス名を入力します。たとえば、com.mycompany.epm.Custom
AuthenticationImplです。
「OK」をクリックします。
デプロイメントのテスト
ネイティブ・ディレクトリがカスタム認証に対して構成されていない場合、カスタム認証のテストにネイティブ・ディレ
クトリ・ユーザーを使用しないでください。
注:
カスタム認証モジュールの問題を識別して修正する必要があります。カスタム・モジュールで使用
するユーザー・ディレクトリからのユーザーをEPM System検索順序で使用可能なカスタム認証が
有効なユーザー・ディレクトリのユーザーにマップするために、カスタム・モジュールがフレームレスに
機能することを想定しています。
デプロイメントをテストするには、カスタム・モジュールで使用されるユーザー・ディレクトリ(たとえば、RSA Secur
IDインフラストラクチャ)からのユーザー資格証明を使用してEPM Systemにログインします。これらの資格証明
は、EPM Systemの資格証明と異なる場合があります。
EPM System製品でリソースへのアクセスを許可された場合、実装は成功したと考えられます。ユーザーが見つか
らなかったというエラーが常に実装の失敗を示しているわけではありません。このような場合、入力した資格証明が
122
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
カスタム・ユーザー・ストアに存在するか、一致するユーザーがEPM System検索順序でカスタム認証が有効なユー
ザー・ディレクトリの1つに存在するかを確認してください。
カスタム認証をテストするには:
1.
2.
3.
EPM System製品が実行されていることを確認します。
EPM Systemコンポーネント、たとえばEPM Workspaceにアクセスします。
カスタム認証が有効なユーザーディレクトリで定義されているユーザーとしてログインします。
4.
a. 「ユーザー名」に、ユーザーID(たとえば、RSAユーザーID)を入力します。
b. 「パスワード」に、パスワード(たとえば、RSA PIN)を入力します。
c. 「ログイン」をクリックします。
EPM System製品のリソースにアクセスできたことを確認します。
カスタム認証モジュールの使用方法
123
124
6
EPM Systemの保護のガイドライン
この項の内容:
SSLの実装 ...........................................................................................................................
管理パスワードの変更 .............................................................................................................
暗号化鍵の再生成 .................................................................................................................
データベース・パスワードの変更 .................................................................................................
Cookieの保護 ......................................................................................................................
SSOトークンのタイムアウトの低減 .............................................................................................
セキュリティ・レポートの確認 .....................................................................................................
認証システムの強力な認証としてのカスタマイズ .........................................................................
Financial Managementの詳細なエラー・メッセージの非表示 ......................................................
UDLファイルの暗号化(Financial Management) .....................................................................
EPM Workspaceのデバッグ・ユーティリティを使用不可にする .....................................................
デフォルトのWebサーバー・エラー・ページの変更 ..........................................................................
サードパーティ製ソフトウェアのサポート .......................................................................................
125
125
125
126
127
127
127
127
128
128
128
129
129
SSLの実装
SSLでは、データを暗号化する暗号システムを使用します。SSLは、データを安全に送信できるクライアントとサーバー
間の安全な接続を作成します。
EPM System環境をセキュリティ保護するには、Webアプリケーションおよびユーザー・ディレクトリ接続で使用され
るすべての通信チャネルを、SSLを使用して保護します。 19ページの第2章「EPM SystemコンポーネントのSSL使
用可能化」を参照してください。
管理パスワードの変更
デフォルトのネイティブ・ディレクトリ管理ユーザー・アカウントでは、すべてのShared Services機能へのアクセスが
提供されます。このパスワードは、Foundation Servicesのデプロイ時に設定されます。このアカウントのパスワード
を定期的に変更する必要があります。
パスワードを変更するには、adminユーザー・アカウントを編集します。『Oracle Enterprise Performance
Management Systemユーザー・セキュリティ管理ガイド』のユーザー・アカウントの変更に関する項を参照してください。
暗号化鍵の再生成
Shared Services Consoleを使用して、次のものを定期的に再生成します:
EPM Systemの保護のガイドライン
125
• シングル・サインオン・トークン
注意
Financial Management、Oracle Hyperion EPM ArchitectおよびOracle Hyperion
Profitability and Cost Managementで使用されるタスクフローは、新しいキーストアの生成時
には無効化されています。キーストアを再生成した後に、タスクフローを開いて保存すると、タスクフ
ローは再度有効化されます。
• 信頼できるサービス・キー
• プロバイダ構成キー
109ページの暗号化鍵の再生成を参照してください。
データベース・パスワードの変更
EPM System製品のすべてのデータベースのパスワードを定期的に変更します。Oracle Hyperion Shared
Servicesレジストリでデータベースのパスワードを変更する手順の詳細は、この項で説明します。
EPM System製品のデータベース・パスワードを変更する詳細手順は、『Oracle Enterprise Performance
Management Systemインストールおよび構成ガイド』を参照してください。
EPM System製品のデータベースのパスワードをShared Servicesレジストリで変更するには:
1.
2.
3.
データベース管理コンソールを使用して、EPM System製品のデータベースの構成に使用したアカウントを持つ
ユーザーのパスワードを変更します。
EPM System製品(Webアプリケーション、サービスおよびプロセス)を停止します。
EPM Systemコンフィグレータを使用して、次の手順のいずれかを実行してデータベースを再構成します。
Shared Servicesのみ:
注:
EPM System製品がShared Servicesと異なるマシンに存在する分散環境では、すべてのサー
バーでこの手順を実行する必要があります。
a.
b.
4.
EPM SystemコンフィグレータのFoundationタスクから「データベースの構成」を選択します。
「Shared Servicesおよびレジストリ・データベース構成」ページで、「前に構成されたShared Services
データベースに接続」を選択します。
c. Shared Servicesデータベースを構成するのに使用したアカウントを持つユーザーの新パスワードを指定し
ます。他の設定は変更しないでください。
d. 構成を続行し、完了したら「終了」をクリックします。
Shared Services以外のEPM System製品:
注:
現在のサーバーにデプロイされているEPM System製品に対しのみ、次の手順を行います。
126
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
a.
b.
c.
5.
EPM Systemコンフィグレータの製品の構成タスク・リストから、「データベースの構成」を選択します。
「データベースの構成」ページで、「データベースの初回構成を実行」を選択します。
EPM System製品のデータベースを構成するのに使用したアカウントを持つユーザーの新パスワードを指
定します。他の設定は変更しないでください。
d. 「次へ」をクリックします。
e. 「既存のデータベースを再使用します」を選択します。
f. 構成を続行し、完了したら「終了」をクリックします。
EPM System製品およびサービスを開始します。
Cookieの保護
EPM SystemのWebアプリケーションは、cookieを設定してセッションを追跡します。特にセッションのcookieを設
定しているとき、サーバーは保護フラグを設定できます。これにより、ブラウザは保護チャネルを介してcookieを送信
できます。この動作で、セッションが乗っ取られる危険性が低くなります。
注:
EPM System製品がSSL使用可能の環境にデプロイされる場合のみCookieを保護します。
WebLogic Serverセッションの記述子を変更して、WebLogic ServerのCookieを保護します。sessionparam要素内のcookieSecure属性の値をTRUEに設定します。Oracle WebLogic Server 11g用のOracle
Fusion Middlewareプログラミング・セキュリティのWeb アプリケーションの保護に関する項を参照してください。
SSOトークンのタイムアウトの低減
SSOトークンのデフォルトのタイムアウトは480分です。SSOトークンのタイムアウトを、たとえば60分に縮小する
と、表示されている場合はトークンの再利用を最小限にできます。『Oracle Enterprise Performance Management
Systemユーザー・セキュリティ管理ガイド』のセキュリティ・オプションの設定に関する項を参照してください。
セキュリティ・レポートの確認
セキュリティ・レポートには、監査を構成しているセキュリティ・タスクに関する監査情報が含まれています。特に
EPM System製品で失敗したログイン試行とプロビジョニングの変更を識別するために、このレポートをShared
Services Consoleで定期的に生成し確認します。レポート生成オプションとして「詳細ビュー」を選択し、変更
された属性と新しい属性値に基づいてレポート・データをグループ化します。『Oracle Enterprise Performance
Management Systemユーザー・セキュリティ管理ガイド』のレポートの生成に関する項を参照してください。
認証システムの強力な認証としてのカスタマイズ
カスタム認証モジュールを使用して、EPM Systemに強力な認証を追加できます。たとえば、RSA SecurID twofactor認証をnonchallenge応答モードで使用できます。カスタム認証モジュールは、シン・クライアントおよびシッ
EPM Systemの保護のガイドライン
127
ク・クライアントに対して透過的であり、クライアント側のデプロイメント変更は必要ありません。 113ページの第5章
「カスタム認証モジュールの使用方法」を参照してください。
Financial Managementの詳細なエラー・メッセージの非表示
技術情報を含むFinancial Managementの詳細なエラー・メッセージは、Windowsレジストリ・エントリを更新する
ことで、ユーザーに非表示にすることができます。
詳細な技術情報を含むエラー・メッセージを非表示にするには:
1.
2.
Financial ManagementのホストとなるWindowsサーバーで、Windowsレジストリ・エディタを起動します。
HKEY_LOCAL_MACHINE\SOFTWARE\Hyperion Solutions\Hyperion Financial Managementに移動し
ます。
これらの設定を使用して、新しいDWORD値を作成します:
3.
値名: DisableTechnicalError
値データ: 1(0に設定すると詳細メッセージが表示されます)
4.
Financial ManagementのホストとなるIISサーバーのホストとなるWindowsサーバーで、Windowsレジスト
リ・エディタを起動します。
HKEY_LOCAL_MACHINE\SOFTWARE\Hyperion Solutions\Hyperion Financial Management\webに
移動します。
これらの設定を使用して、新しいDWORD値を作成します:
5.
6.
値名: DisableAspTechnicalErrorMessage
値データ: 1 (この値を0に設定すると詳細メッセージが表示されます。)
UDLファイルの暗号化(Financial Management)
Financial Managementの構成中に、EPM Systemコンフィグレータはデフォルトで暗号化されていないUDL
ファイルを作成します。このファイルは、Oracle Hyperion Enterprise Performance Management System
コンフィグレータの詳細データベース・オプション・ページのオプションを選択するか、構成の完了後にEncrypt
HFMUDLユーティリティを実行することによって、暗号化できます。
『Oracle Enterprise Performance Management Systemインストールおよび構成ガイド』のUDLファイルの暗号化に関
する項を参照してください。
EPM Workspaceのデバッグ・ユーティリティを使用不可にする
• トラブルシューティングの目的で、EPM Workspaceは未処理のJavaScriptファイルとともに出荷されます。セ
キュリティの目的で、これらの未処理のJavaScriptファイルを本番環境から除去する必要があります:
○EPM_ORACLE_HOME/common/epmstatic/wspace/js/ディレクトリのバックアップ・コピーを作成します。
○ファイルDIRECTORY_NAME.jsを除き、EPM_ORACLE_HOME/common/epmstatic/wspace/jsの各サブディレ
クトリから.jsファイルを削除します。
128
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
各サブディレクトリには、ディレクトリの名前を持つ.jsファイルが含まれています。たとえば、EPM_ORACLE_
HOME/common/epmstatic/wspace/js/com/hyperion/bpm/web/commonにはCommon.jsが含まれてい
ます。ディレクトリの名前を持つファイル(この場合はCommon.js)以外のすべての.jsファイルを除去します。
• EPM Workspaceでは、EPM Workspaceがデバッグ・モードでデプロイされた場合にアクセス可能になる
デバッグ・ユーティリティおよびテスト・アプリケーションを提供します。セキュリティの目的で、管理者はEPM
Workspaceのクライアント側のデバッグをオフにする必要があります。
デバッグ・モードをオフにするには:
1. Oracle Hyperion Enterprise Performance Management Workspaceに管理者としてログインします。
2. 「ナビゲート」、「管理者」、「Workspaceサーバー設定」の順に選択します。
3. 「Workspaceサーバー設定」のClientDebugEnabledで、「いいえ」を選択します。
4. 「OK」をクリックします。
デフォルトのWebサーバー・エラー・ページの変更
アプリケーション・サーバーが要求を受け入れられないとき、バックエンド・アプリケーション・サーバーのWebサーバー・
プラグイン(Oracle WebLogic ServerのOracle HTTP Serverプラグインなど)はプラグインの構築情報が表示
されたデフォルトのエラー・ページを戻します。これ以外にも、Webサーバーによってデフォルトのエラー・ページが表示
される場合があります。攻撃者は、この情報から公共のWebサイトの既知の脆弱性を知ることができます。
Webアプリケーション・サーバー・プラグインおよびWebサーバーのエラー・ページをカスタマイズして、サーバーのバー
ジョン、サーバー・タイプ、プラグインの作成日、プラグイン・タイプなどの本番環境用システム・コンポーネントに関す
る情報が含まれないようにできます。詳細は、ご使用のアプリケーション・サーバーおよびWebサーバーのベンダーのド
キュメントを参照してください。
サードパーティ製ソフトウェアのサポート
オラクル社は、サードパーティ・ベンダーが明言している下位互換性を了承し、サポートします。したがって、ベンダーが
下位互換を明言している場合、その後のメンテナンス・リリースやサービス・パックを使用できます。互換性がないこ
とがわかると、オラクル社では、製品をデプロイすべきパッチ・リリースを指定(およびサポート・マトリックスから互換性
のないバージョンを削除)するか、そのOracle製品のメンテナンス・リリースまたはサービス・フィックスを提供します。
サーバー側の更新: サードパーティ製サーバー側コンポーネントのアップグレードに関するサポートは将来のメンテナン
ス・リリースに関する方針に従います。通常、Oracleでは、サードパーティ製サーバー側コンポーネントについて、現在
サポートしているリリースのサービス・パックの次回メンテナンス・リリースへのアップグレードをサポートします。次回の
主要リリースへのアップグレードはサポートされません。
クライアント側の更新: Oracleではクライアント・コンポーネントの自動更新をサポートしています。これには、サード
パーティ製クライアント・コンポーネントの次回主要リリースへの更新が含まれます。たとえば、ブラウザのJREバージョ
ンを1.5から1.6に更新できます。
EPM Systemの保護のガイドライン
129
130
カスタム認証サンプル・コード
A
この項の内容:
サンプル・コード1 .................................................................................................................... 131
サンプル・コード2 .................................................................................................................... 132
サンプル・コード2のデータ・ファイル ........................................................................................... 134
サンプル・コード1
注:
カスタム認証コードではエラー・ロギングにlog4jを使用しないでください。以前のリリースで使用し
たカスタム認証コードでlog4jを使用している場合は、このリリースで使用する前に、コードから削除
する必要があります。
次のコード・スニペットは、カスタム・モジュールの空の実装です:
package com.hyperion.css.custom;
import java.util.Map;
import com.hyperion.css.CSSCustomAuthenticationIF;
public class CustomAuthenticationImpl implements CSSCustomAuthenticationIF {
public String authenticate(Map context,String userName,
String password) throws Exception{
try{
//Custom code to find and authenticate the user goes here.
//The code should do the following:
//if authentication succeeds:
//set authenticationSuccessFlag = true
//return authenticatedUserName
// if authentication fails:
//log an authentication failure
//throw authentication exception
}
catch (Exception e){
//Custom code to handle authentication exception goes here
//Create a new exception, set the root cause
//Set any custom error message
//Return the exception to the caller
}
return authenticatedUserName;
}
付録A カスタム認証サンプル・コード
131
}
入力パラメータ:
• コンテキスト: ロケール情報のキーと値のペアを含むマップ
• ユーザー名: カスタム・モジュールがユーザーを認証するユーザー・ディレクトリにユーザーを一意に識別する識別子。
ユーザーは、EPM Systemコンポーネントにログインする際にこのパラメータの値を入力します。
• パスワード: カスタム・モジュールがユーザーを認証するユーザー・ディレクトリのユーザーのパスワード・セット。ユー
ザーは、EPM Systemコンポーネントにログインする際にこのパラメータの値を入力します。
サンプル・コード2
次のサンプル・コードは、フラット・ファイルに含まれるユーザー名とパスワードを使用したユーザーのカスタム認証を示
します。カスタム認証を機能させるには、クラス・コンストラクタ内のユーザーとパスワードのリストを初期化する必要が
あります。
package com.hyperion.css.security;
import
import
import
import
java.util.Map;
java.util.HashMap;
com.hyperion.css.CSSCustomAuthenticationIF;
java.io.*;
public class CSSCustomAuthenticationImpl implements CSSCustomAuthenticationIF{
static final String DATA_FILE = "datafile.txt";
/**
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*/
authenticate method includes the core implementation of the
Custom Authentication Mechanism. If custom authentication is
enabled for the provider, authentication operations
are delegated to this method. Upon successful authentication,
this method returns a valid user name, using which EPM System
retrieves the user from a custom authentication enabled provider.
User name can be returned in the format username@providerName,
where providerName indicates the name of the underlying provider
where the user is available. authenticate method can use other
private methods to access various core components of the
custom authentication module.
@param context
@param userName
@param password
@return
@throws Exception
Map users = null;
public CSSCustomAuthenticationImpl(){
users = new HashMap();
InputStream is = null;
BufferedReader br = null;
String line;
String[] userDetails = null;
String userKey = null;
try{
132
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
is = CSSCustomAuthenticationImpl.class.getResourceAsStream(DATA_FILE);
br = new BufferedReader(new InputStreamReader(is));
while(null != (line = br.readLine())){
userDetails = line.split(":");
if(userDetails != null && userDetails.length==3){
userKey = userDetails[0]+ ":" + userDetails[1];
users.put(userKey, userDetails[2]);
}
}
}
}
catch(Exception e){
// log a message
}
finally{
try{
if(br != null) br.close();
if(is != null) is.close();
}
catch(IOException ioe){
ioe.printStackTrace();
}
}
/* Use this authenticate method snippet to return username from a flat file */
public String authenticate(Map context, String userName, String password) throws
Exception{
//userName : user input for the userName
//password : user input for password
//context : Map, can be used to additional information required by
//
the custom authentication module.
String authenticatedUserKey = userName + ":" + password;
if(users.get(authenticatedUserKey)!=null)
return(String)users.get(authenticatedUserKey);
else throw new Exception("Invalid User Credentials");
}
/* Refer to this authenticate method snippet to return username in
username@providername format */
public String authenticate(Map context, String userName, String password) throws
Exception{
//userName : user input
//password : user input
//context : Map can be
//
the custom
for userName
for password
used to additional information required by
authentication module.
//Your code should uniquely identify the user in a custom provider and in a
configured
//user directory in Shared Services. EPM Security expects you to append the
provider
//name to the user name. Provider name must be identical to the name of a custom
//authentication-enabled user directory specified in Shared Services.
//If invalid arguments, return null or throw exception with appropriate message
//set authenticationSuccessFlag = false
String authenticatedUserKey = userName + ":" + password;
付録A カスタム認証サンプル・コード
133
}
if(users.get(authenticatedUserKey)!=null)
String userNameStr = (new StringBuffer())
.append((String)users.get(authenticatedUserKey))
.append("@").append(PROVIDER_NAME).toString();
return userNameStr;
else throw new Exception("Invalid User Credentials");
}
サンプル・コード2のデータ・ファイル
データ・ファイルがdatafile.txtという名前(サンプル・コードで使用される名前)で、作成するJavaアーカイブに含
まれていることを確認してください。
サンプル・コード2 ( 132ページのサンプル・コード2を参照)で実装されるカスタム認証モジュールをサポートするた
めにカスタム・ユーザー・ディレクトリとして使用されるフラット・ファイルのコンテンツとして次を使用します。
xyz:password:admin
test1:password:test1@LDAP1
test1:password:test1
test1@LDAP1:password:test1@LDAP1
test1@1:password:test1
user1:Password2:user1@SunONE1
user1_1:Password2:user1
user3:Password3:user3
DS_User1:Password123:DS_User1@MSAD1
DS_User1:Password123:DS_User1
DS_User1@1:Password123:DS_User1
ユーザー名をusername@providername形式で戻す予定の場合にカスタム・ユーザー・ディレクトリとして使用される
フラット・ファイルのコンテンツとして次を使用します:
xyz:password:admin
test1:password:test1
test1@1:password:test1
user1_1:Password2:user1
user3:Password3:user3
DS1_1G100U_User61_1:Password123:DS1_1G100U_User61
DS1_1G100U_User61_1@1:Password123:DS1_1G100U_User61
TUser:password:TUser
134
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
B
カスタム・ログイン・クラスの実装
この項の内容:
カスタム・ログイン・クラス・サンプル・コード .................................................................................. 135
カスタム・ログイン・クラスのデプロイ .......................................................................................... 137
EPM Systemは、com.hyperion.css.sso.agent.X509CertificateSecurityAgentImplを提供して、X509
証明書からユーザー・アイデンティティ(DN)を抽出します。
DN以外の証明書にある属性からユーザーアイデンティティを取得する必要がある場合、この付録で説明しているよ
うに、com.hyperion.css.sso.agent.X509CertificateSecurityAgentImplに類似したカスタム・ログイン・
クラスを開発および実装する必要があります。
カスタム・ログイン・クラス・サンプル・コード
このサンプル・コードは、デフォルトのcom.hyperion.css.sso.agent.X509CertificateSecurityAgent
Implの実装を示しています。通常、この実装のparseCertificate(String sCertificate)メソッドをカスタマ
イズして、DN以外の証明書属性からユーザー名を取得する必要があります。
package com.hyperion.css.sso.agent;
import
import
import
import
import
import
import
import
java.io.ByteArrayInputStream;
java.io.UnsupportedEncodingException;
java.security.Principal;
java.security.cert.CertificateException;
java.security.cert.CertificateFactory;
java.security.cert.X509Certificate;
com.hyperion.css.CSSSecurityAgentIF;
com.hyperion.css.common.configuration.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* X509CertificateAuthImpl implements the CSSSecurityAgentIF interface It accepts
* the X509 certificate of the authenticated user from the Web Server via a
* header, parses the certificate, extracts the DN of the User and
* authenticates the user.
*/
public class X509CertificateSecurityAgentImpl implements CSSSecurityAgentIF
{
static final String IDENTITY_ATTR = "CN";
String g_userDN = null;
String g_userName = null;
String hostAdrress= null;
付録B カスタム・ログイン・クラスの実装
135
/**
* Returns the User name (login name) of the authenticated user,
* for example demouser. See CSS API documentation for more information
*/
public String getUserName(HttpServletRequest req, HttpServletResponse res)
throws Exception
{
hostAdrress = req.getServerName();
String certStr = getCertificate(req);
String sCert = prepareCertificate(certStr);
/* Authenticate with a CN */
parseCertificate(sCert);
}
/* Authenticate if the Login Attribute is a DN */
if (g_userName == null)
{
throw new Exception("User name not found");
}
return g_userName;
/**
* Passing null since this is a trusted Security agent authentication
* See Security API documentation for more information on CSSSecurityAgentIF
*/
public String getPassword(HttpServletRequest req, HttpServletResponse res)
throws Exception
{
return null;
}
/**
* Get the Certificate sent by the Web Server in the HYPLOGIN header.
* If you pass a different header nane from the Web server, change the
* name in the method.
*/
private String getCertificate(HttpServletRequest request)
{
String cStr = (String)request
.getHeader(CSSConfigurationDefaults.HTTP_HEADER_HYPLOGIN);
return cStr;
}
/**
* The certificate sent by the Web server is a String.
* Put a "\n" in place of whitespace so that the X509Certificate
* java API can parse the certificate.
*/
private String prepareCertificate(String gString)
{
String str1 = null;
String str2 = null;
}
136
str1 = gString.replace("-----BEGIN CERTIFICATE-----", "");
str2 = str1.replace("-----END CERTIFICATE-----", "");
String certStrWithNL = "-----BEGIN CERTIFICATE-----"
+ str2.replace(" ", "\n") + "-----END CERTIFICATE-----";
return certStrWithNL;
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
/**
* Parse the certificate
* 1. Create X509Certificate using the certificateFactory
* 2. Get the Principal object from the certificate
* 3. Set the g_userDN to a certificate attribute value (DN in this sample)
* 4. Parse the attribute (DN in this sample) to get a unique username
*/
private void parseCertificate(String sCertificate) throws Exception
{
X509Certificate cert = null;
String userID = null;
try
{
X509Certificate clientCert = (X509Certificate)CertificateFactory
.getInstance("X.509")
.generateCertificate(
new ByteArrayInputStream(sCertificate
.getBytes("UTF-8")));
if (clientCert != null)
{
Principal princDN = clientCert.getSubjectDN();
String dnStr = princDN.getName();
g_userDN = dnStr;
int idx = dnStr.indexOf(",");
userID = dnStr.substring(3, idx);
g_userName = userID;
}
}
catch (CertificateException ce)
{
throw ce;
}
catch (UnsupportedEncodingException uee)
{
throw uee;
}
} //end of getUserNameFromCert
}// end of class
カスタム・ログイン・クラスのデプロイ
カスタム・ログイン・クラスを実装するには、次の手順を実行します:
1. カスタム・ログイン・クラスを作成およびテストします。コードにlog4jへの参照がないことを確認しま
す。 135ページのカスタム・ログイン・クラス・サンプル・コードを参照してください。
カスタム・クラスには任意の名前を使用できます。
2. カスタム・ログイン・クラスをCustomAuth.jarにパッケージします
3. CustomAuth.jarを次のデプロイメントにコピーします:
• WebLogic: CustomAuth.jarをEPM_ORACLE_HOME/user_projects/domains/WEBLOGIC_DOMAIN/
lib (通常Oracle/Middleware/user_projects/domains/EPMSystem/lib)にコピーします。
付録B カスタム・ログイン・クラスの実装
137
注:
カスタム・ログイン・クラスの実装を含んだリリース11.1.2.0または11.1.2.1からアップグレード
している場合、CustomAuth.jarをEPM_ORACLE_HOME/common/jlib/11.1.2.0からEPM_
ORACLE_HOME/user_projects/domains/WEBLOGIC_DOMAIN/libに移動します。
• WebSphere: CustomAuth.jarをEPM_ORACLE_HOME/common/jlib/11.1.2.0 (通常Oracle/
Middleware/common/jlib/11.1.2.0)にコピーします。
カスタム・ログイン・クラスを使用する場合、クライアント証明書認証を有効にすることをお薦めします。
138
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
ユーザー・ディレクトリ全体
のユーザーとグループの移行
C
この項の内容:
概要 ....................................................................................................................................
前提条件 ..............................................................................................................................
移行手順 ..............................................................................................................................
個々の製品の更新 .................................................................................................................
139
139
140
143
概要
多くのシナリオが、プロビジョニングされたEPM Systemユーザーのユーザー・アイデンティティおよびグループ・アイ
デンティティを陳腐化させる可能性があります。EPM Systemコンポーネントは、コンポーネントで使用可能なプロビ
ジョニング情報が陳腐化すると、アクセスできなくなります。陳腐化したプロビジョニング・データが作成される可能
性のあるシナリオは次のとおりです:
• ユーザー・ディレクトリの処分: 組織でユーザーを別のユーザー・ディレクトリに移動した後、元のユーザー・ディレクト
リを処分する場合があります。
• バージョンのアップグレード: ユーザー・ディレクトリのバージョンをアップグレードすると、ホスト・マシン名またはオペ
レーティング・システム環境の要件が変わる場合があります。
• ベンダーの変更: 組織で別のベンダーのユーザー・ディレクトリを使用することにしたため、元のユーザー・ディレク
トリの使用を打ち切る場合があります。たとえば、組織でOracle Internet DirectoryをSunONE Directory
Serverに切り替えたとします。
注:
この付録では、廃止予定のユーザー・ディレクトリをソース・ユーザー・ディレクトリと呼び、ユーザー・ア
カウントの移行先のユーザー・ディレクトリをターゲット・ユーザー・ディレクトリと呼びます。
前提条件
• プロビジョニング・データがユーザー・ディレクトリ間で移行されるEPM Systemユーザーとグループは、ターゲット・
ユーザー・ディレクトリで使用可能である必要があります。
ソース・ユーザー・ディレクトリ内にあるグループ関係は、ターゲット・ユーザー・ディレクトリで保持される必要がありま
す。
付録C ユーザー・ディレクトリ全体のユーザーとグループの移行
139
• EPM Systemユーザーのユーザー名は、ソース・ユーザー・ディレクトリとターゲット・ユーザー・ディレクトリで同一で
ある必要があります。
移行手順
サブトピック
•
•
•
•
•
ネイティブ・ディレクトリ・データのエクスポート
EPM Systemの移行の準備
EPM Systemの再起動
インポート・ファイルの編集
更新されたデータのインポート
ネイティブ・ディレクトリ・データのエクスポート
Oracle Hyperion Enterprise Performance Management Systemライフサイクル管理を使用して、ネイティ
ブ・ディレクトリから次のデータをエクスポートします:
• ネイティブ・ディレクトリ・グループ
• 割り当てられている役割
• 委任リスト
ライフサイクル管理では、通常、EPM_ORACLE_INSTANCE/import_export/USER_NAME/EXPORT_DIR/
resource/Native Directoryに複数のエクスポート・ファイルを作成します(USER_NAMEは、adminなどのエクス
ポート操作を行うユーザーのアイデンティティで、EXPORT_DIRは、エクスポート・ディレクトリの名前)。通常、次のファ
イルが作成されます:
• Groups.csv
• Roles.csv
• Delegated Lists.csv
• デプロイされているアプリケーションごとのAssigned Roles/PROD_NAME.csv (PROD_NAMEは、Shared
ServicesなどのEPM Systemコンポーネントの名前)。
注:
ライフサイクル管理を使用したデータのエクスポートの詳細な手順については、『Oracle
Enterprise Performance Management Systemライフサイクル管理ガイド』を参照してください。
アーティファクトをエクスポートしたら、移行ステータス・レポートで、最後のエクスポート操作のステータスが「完了」と
表示されていることを確認します。
プロビジョニング・データをネイティブ・ディレクトリからエクスポートするには:
1.
2.
140
Shared Services Consoleのビュー・ペインで、「Foundation」アプリケーション・グループ内の「Shared
Services」アプリケーションを選択します。
プロビジョニング情報をエクスポートするアーティファクトのタイプを選択します。
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
3.
4.
5.
「エクスポート」をクリックします。
エクスポート・アーカイブの名前を入力します。デフォルトはadmin DATEです(例: admin 13-03-18)。
「エクスポート」をクリックします。
EPM Systemの移行の準備
サブトピック
• 外部ユーザー・ディレクトリとしてのターゲット・ユーザー・ディレクトリの追加
• ターゲット・ユーザー・ディレクトリの検索順の変更
外部ユーザー・ディレクトリとしてのターゲット・ユーザー・ディレクトリ
の追加
ソース・ユーザー・ディレクトリから別のユーザー・ディレクトリにユーザー・アカウントを移行した場合、EPM System
でターゲット・ユーザー・ディレクトリを外部ユーザー・ディレクトリとして追加します。たとえば、Oracle Internet
DirectoryからSunONE Directory Serverにユーザー・アカウントを移行した場合、SunONE Directory Server
を外部ユーザー・ディレクトリとして追加します。『Oracle Enterprise Performance Management Systemユーザー・セ
キュリティ管理ガイド』のユーザー・ディレクトリの構成に関する章を参照してください。
注:
データをソース・ユーザー・ディレクトリから移行する、すべてのEPM Systemユーザーのユーザー・ア
カウントとグループがターゲット・ユーザー・ディレクトリに含まれていることを確認します。
すでに外部ユーザー・ディレクトリとして定義されているユーザー・ディレクトリにユーザーを移行した場合、ユーザー・ア
カウントがShared Servicesからアクセス可能であることを確認します。これは、Shared Services Consoleから
ユーザーを検索することで実行できます。『Oracle Enterprise Performance Management Systemユーザー・セキュリティ
管理ガイド』のユーザー、グループ、役割および委任リストの検索に関する項を参照してください。
ターゲット・ユーザー・ディレクトリを外部ユーザー・ディレクトリとして構成する際、「ログイン属性」プロパティが、ソー
ス・ユーザー・ディレクトリで元々そのユーザー名の属性値として使用されていた属性を指していることを確認しま
す。 139ページの前提条件を参照してください。
ターゲット・ユーザー・ディレクトリの検索順の変更
注:
ターゲット・ユーザー・ディレクトリ名がソース・ディレクトリ名と同じ場合、ソース・ユーザー・ディレクト
リをEPM System構成から削除する必要があります。
Shared Servicesでは、新たに追加されたユーザー・ディレクトリに、既存のディレクトリに割り当てられている検索
順より低い順序が割り当てられます。ターゲット・ユーザー・ディレクトリの検索順がソース・ユーザー・ディレクトリより
付録C ユーザー・ディレクトリ全体のユーザーとグループの移行
141
も上になるよう検索順を変更します。この順序によって、Oracle Hyperion Shared Servicesがソースを検索す
る前にターゲット・ユーザー・ディレクトリでユーザーを検出できるようになります。『Oracle Enterprise Performance
Management Systemユーザー・セキュリティ管理ガイド』のユーザー・ディレクトリの検索順の管理に関する項を参照して
ください。
EPM Systemの再起動
Oracle Hyperion Foundation Servicesとその他のEPM Systemコンポーネントを再起動し、変更を反映しま
す。
インポート・ファイルの編集
注:
EPM System構成のターゲット・ユーザー・ディレクトリ名がソース・ユーザー・ディレクトリ名と同じ
場合、この手順は必要ありません。
ネイティブ・ディレクトリでのデータの再作成には、ライフサイクル管理で作成されたエクスポート・ファイルをソースと
して使用します。エクスポート・ファイルは、ネイティブ・ディレクトリからのエクスポート時に、指定されたディレクトリに
生成されます。 140ページのネイティブ・ディレクトリ・データのエクスポートを参照してください。
各エクスポート・ファイルで、ソース・ユーザー・ディレクトリへの参照をすべてターゲット・ユーザー・ディレクトリへの参照
に置き換えます。通常、割り当てられている役割のエクスポート・ファイルを編集します。オプションで次のファイルも
編集します。
• ソース・ユーザー・ディレクトリのユーザーが、ネイティブ・ディレクトリ・グループのメンバーの場合、Groups.csv。
• ソース・ユーザー・ディレクトリのユーザーが委任リストに割り当てられている場合、Delegated Lists.csv。
インポート・ファイルは、EPM_ORACLE_INSTANCE/import_export/USER_NAME/EXPORT_DIR/resource/
Native Directory (USER_NAMEはadminなどの操作を開始したユーザーのアイデンティティ)にあります。
インポート・ファイルを編集するには:
1.
2.
3.
4.
5.
エクスポートされたzipアーカイブの中身をフォルダに展開します。
テキスト・エディタを使用して、インポート・ファイルを開きます。
ソース・ユーザー・ディレクトリの名前を、「定義済ユーザー・ディレクトリ」画面の「ディレクトリ名」列に表示されてい
るターゲット・ユーザー・ディレクトリの名前に置き換えます。
インポート・ファイルを保存して閉じます。
更新されたインポート・ファイルのアーカイブを作成します。
更新されたデータのインポート
作成/更新オプションを使用してライフサイクル管理を実行し、ネイティブ・ディレクトリからエクスポートしてあった
データをインポートします。 140ページのネイティブ・ディレクトリ・データのエクスポートを参照してください。
142
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
注:
Oracle Hyperion Enterprise Performance Management Systemライフサイクル管
理を使用したデータのインポートの詳細な手順については、『Oracle Enterprise Performance
Management Systemライフサイクル管理ガイド』を参照してください。
データをインポートしたら、移行ステータス・レポートで、最後のインポート操作のステータスが「完了」と表示されている
ことを確認します。
更新されたプロビジョニング・データをネイティブ・ディレクトリにインポートするには:
1.
2.
3.
4.
5.
Oracle Hyperion Shared Services Consoleのビュー・ペインで、「ファイル・システム」を展開します。
インポート・ファイルのファイル・システムの場所を選択します。
プロビジョニング情報をインポートするアーティファクトのタイプを選択します。
「インポート」をクリックします。
「OK」をクリックします。
個々の製品の更新
注意
個々の製品を更新する前に、Oracle Enterprise Performance Management Systemコン
ポーネントによって使用されているリポジトリのユーザーとグループのデータをバックアップすること
をお薦めします。ローカル製品リポジトリの情報を更新した後は、バックアップからのみ、元のローカ
ル製品リポジトリのユーザーとグループのデータに戻すことができます。
Planning
Planningは、Planningリポジトリでプロビジョニングされたユーザーとグループに関する情報を保管します。ユー
ザーとグループをユーザー・ディレクトリ間で移行した結果、ネイティブ・ディレクトリ内のユーザー・アイデンティティが
変更された場合、「ユーザーの移行」/「グループの移行」を選択して、Planningリポジトリの情報と、ネイティブ・ディ
レクトリの情報を同期化する必要があります。このボタンは、データ・フォーム、メンバーおよびタスク・リストへのアクセ
スを割り当てる場合に、Oracle Hyperion Planningで使用可能です。
Financial Management
Financial Managementは、ローカルFinancial Managementリポジトリ内のオブジェクトにアクセスするよう
プロビジョニングされたユーザーとグループに関する情報を記録します。ユーザーとグループをユーザー・ディレクトリ
間で移行した結果、ネイティブ・ディレクトリ内のユーザーとグループの情報が変更された場合、Oracle Hyperion
Financial Managementリポジトリの情報と、ネイティブ・ディレクトリの情報を同期化する必要があります。
付録C ユーザー・ディレクトリ全体のユーザーとグループの移行
143
Reporting and Analysis
Reporting and Analysisでは、syncCSSIdユーティリティを使用して、ネイティブ・ディレクトリ内のアイデンティ
ティが反映されるようリレーショナル・データベースに保管されているユーザー・アイデンティティとグループ・アイデ
ンティティを同期化します。ユーザーがOracle Hyperion Reporting and Analysisにアクセスできるようにす
るには、ネイティブ・ディレクトリのプロビジョニング・データの移行後、このユーティリティを実行する必要があり
ます。syncCSSIdユーティリティは、EPM_ORACLE_INSTANCE/bin/ReportingAnalysis/syncCSSIdディレク
トリにインストールされています(C:/Oracle/Middleware/user_projects/epmsystem1/bin/Reporting
Analysis/syncCSSIdなど)。
syncCSSIdユーティリティの実行の詳細な手順については、EPM_ORACLE_INSTANCE/bin/Reporting
Analysis/syncCSSId/ReadmeSyncCSSId_BI.txtを参照してください。
144
EPM Systemセキュリティ構成ガイド・リリース11.1.2.4 · · 2014 年 5 月
Fly UP