IBM Cognos Business Intelligence Series 7 IBM Cognos...

IBM Cognos Business Intelligence Series 7IBM Cognos Series 7 Access Manager

バージョン 7.4

ACCESS MANAGER 管理者ガイド

HTML TOC エントリのテキストを入力しま

す。


す。


す。

ACCESS MANAGER 管理者ガイド

shens

Stamp

製品情報

このドキュメントは IBM Cognos Series 7 Access Manager Version 7.4 を対象として作成されています。また、その後のリリースも対象となる

場合があります。このマニュアルの最新バージョンに関する情報は、 IBM Cognos インフォメーションセンター

(http://publib.boulder.ibm.com/infocenter/cogic/v1r0m0/index.jsp)で見ることができます。

著作権Licensed Materials - Property of IBM

(C) Copyright IBM Corp. 1999, 2009.

US Government Users Restricted Rights – Use, duplication or disclosure restricted by GSA ADP Schedule Contract with IBM Corp.

IBM, the IBM logo, ibm.com, Cognos, Impromptu, and PowerPlay are trademarks or registered trademarks of International Business Machines Corp., in many jurisdictions worldwide. Other product and service names might be trademarks of IBM or other companies. A current list of IBM trademarks is available on the Web at www.ibm.com/legal/copytrade.shtml.

Java and all Java-based trademarks are trademarks of Sun Microsystems, Inc. in the United States, other countries, or both.

目次

第 1 章 : セキュリティと Access Manager 7

Access Manager コンポーネント 8

使用できるセキュリティオプション 9

他の IBM Cognos アプリケーションへのセキュリティの適用 10

IBM Cognos アプリケーションによる認証データの使用 11

Access Manager 認証コンポーネントの設定オプション 12

認証ソースの設定 12

SSL （Secure Sockets Layer）のセキュリティ 13

ユーザーの識別：概要 13

Access Manager のネームスペース 14

基本サインオン 14

外部サインオン 15

共通ログオンまたはシングルサインオン 15

統合 Windows 認証 16

ユーザー 17

ユーザークラス 18

IBM Cognos サーバーの接続情報を保存する 18

セキュリティ保護されたデータベースのサインオン情報を保存する 18

セキュリティ保護されたキューブのサインオン情報を保存する 19

サードパーティ製キューブのサインオン情報を保存する 19

管理業務を委任する 19

自動管理 20

第 2 章 : 認証ソースの設定 21

認証ソースの接続情報を保存する 21

ディレクトリサーバーへのアクセス：概要 22

ディレクトリサーバーに接続する 22

ディレクトリサーバーの接続を変更する 23

ディレクトリサーバーの接続をテストする 24

ディレクトリサーバーの Secure Sockets Layer （SSL）を設定する 24

ネームスペースの設定：概要 26

ネームスペースを追加する 26

ネームスペースにログオンする 28

その他のユーザーとしてネームスペースにログオンする 29

ネームスペースの管理者を追加する 30

ネームスペースの概要情報を入力する 30

ネームスペースに匿名アクセスを設定する 31

ネームスペースにゲストアクセスを設定する 32

ネームスペースに含まれるユーザーのサインオンプロパティを設定する 32

Web ユーザーのネームスペース OS サインオンに変数を使用する 33

ネームスペースに含まれるユーザーのパスワードプロパティを設定する 34

ネームスペースに含まれるユーザーの地域設定を定義する 35

ディレクトリサーバーにデフォルトのネームスペースを設定する 36

リモートユーザーのためにネームスペースをエクスポートする 37

ディレクトリサーバー間でネームスペース情報を転送する 38

旧式ネームスペースを識別する 39

ネームスペースをアップグレードする 40

外部ユーザーサポートを使用可能にする 41

監査ログ記録を使用可能にする 42

P Licensed Materials - Property of IBM

© Copyright IBM Corp. 1999, 2009

代替の認証ソース：概要 43

ローカル認証エクスポートファイル：概要 44

ローカル認証エクスポートファイルを追加する 44

ローカル認証エクスポートファイルをネームスペースにインポートする 45

第 3 章 : 認証データの設定 47

ユーザーの設定：概要 47

ユーザーを追加する 48

ユーザーにサインオンを設定する 49

ユーザーをユーザークラスに割り当てる 51

データソースまたはアプリケーションサーバーのアクセスを設定する 52

ユーザーの自動アクセスを設定する 52

ユーザーのユーザークラスとアクセスを表示する 53

Web 製品のユーザーに地域の設定を定義する 54

Upfront へのユーザーアクセスを定義する 54

外部ユーザーをリンクする 55

ユーザークラスの設定：概要 56

ユーザークラスを追加する 57

パブリックユーザークラスを設定する 57

ユーザークラスのアクセス時間を設定する 58

ユーザークラスの権限を設定する 59

ユーザークラスに属するユーザーを表示する 60

データソースの設定：概要 61

データベースを追加する 61

OLAP サーバーデータベースを追加する 62

データベースの自動アクセスを設定する 63

キューブを追加する 64

データベースに保存されているキューブを追加する 64

サーバーの設定：概要 65

Transformer サーバーを追加する 65

Transformer サーバーの自動アクセスを設定する 66

PowerPlay サーバーを追加する 67

認証データを検索する 67

認証データをソートする 68

第 4 章 : アプリケーション間のセキュリティの設定 69

Access Manager と Transformer 70

Access Manager と PowerPlay 71

Access Manager と PowerPlay Enterprise Server 72

Access Manager と Upfront 73

Access Manager と NoticeCast 74

Ticket サービス 74

Ticket サービスアクティビティの監査 76

FAQ およびトラブルシューティング 79

ユーザーとしてログオンできないのは ? 79

ユーザーを削除できないのは ? 79

ユーザークラスを削除できないのは ? 79

ネームスペースをマージした後、保護されたリソースを開くことができないのは ? 79

［切り取り］コマンドが［コピー］コマンドのように動作するのはどのような場合 ? 80

SSL 通信用に設定されたディレクトリサーバーに接続できないのは ? 80

Active Directory Server を使用して、基本的な文字構成が同じである複数のオブジェクトを

追加すると、エラーメッセージが表示されるのは ? 80

Access Manager Server が起動しない原因を特定するには ? 81

付録 A: Access Manager のユーティリティ 83

AM_NamespaceReport ユーティリティ 83

AM_NamespaceCorruptionDetect ユーティリティ 85

amADUpdate ユーティリティ 86

Q IBM Cognos Series 7 Access Manager

用語集 89

索引 97

Access Manager 管理者ガイド =R

S IBM Cognos Series 7 Access Manager

第 1 章 : セキュリティと Access Manager

Access Manager は、 IBM Cognos ビジネス情報アプリケーションにおけるセキュリティ情報の

定義、保存、および維持を中央管理するための環境を提供します。

保護されたデータ（他の IBM Cognos アプリケーションで作成したキューブやレポートなど）

へのユーザーのアクセスを、 1 か所で集中的に設定および管理できます。また、必要なデータ

を含むデータソースやサーバーに対するユーザーのサインオン情報や自動アクセス権の設定

および管理も、 Access Manager で行います。

Access Manager では次のものが必要です。

- Upfront

- NoticeCast

Access Manager では次のものを選択して使用できます。

- PowerPlay

- Transformer

他の IBM Cognos 製品を使い始める前に、セキュリティの方針を計画し、 Access Manager で実

行します。最初にユーザーを識別し、作成します。次に、情報に対するアクセスのニーズが類似しているユーザーをグループ化する方法を決め、ユーザークラスの資格を付与します。こ

れらのユーザークラスには、必要なアプリケーションサーバー（PowerPlay Enterprise Server

や Transformer Server など）およびデータソース（Oracle、 Sybase SQL Server、ローカルの

キューブなど）へのアクセス権が付与されます。

Access Manager でセキュリティ情報を設定したら、そのセキュリティ情報を他の IBM Cognos

製品に適用します。

このバージョンの Access Manager では、認証データを次のいずれかの元データに保存できま

す。

- LDAP ディレクトリサーバー上のネームスペース

- ローカル認証エクスポートファイル（.lae）

認証ソースの各タイプについては、「認証ソースの設定」 (p. 21) を参照してください。

関連トピック

- 「自動管理」 (p. 20)

- 「管理業務を委任する」 (p. 19)

- 「ネームスペースの設定：概要」 (p. 26)

- 「基本サインオン」 (p. 14)

- 「共通ログオンまたはシングルサインオン」 (p. 15)

- 「外部サインオン」 (p. 15)

- 「ユーザーの識別：概要」 (p. 13)

- 「統合 Windows 認証」 (p. 16)

- 「ユーザークラス」 (p. 18)

- 「ユーザー」 (p. 17)

- 「Access Manager コンポーネント」 (p. 8)

- 「他の IBM Cognos アプリケーションへのセキュリティの適用」 (p. 10)

- 「使用できるセキュリティオプション」 (p. 9)

T Licensed Materials - Property of IBM



- 「認証ソースの設定」 (p. 12)

- 「IBM Cognos アプリケーションによる認証データの使用」 (p. 11)

- 「SSL （Secure Sockets Layer）のセキュリティ」 (p. 13)

- 「IBM Cognos サーバーの接続情報を保存する」 (p. 18)

- 「セキュリティ保護されたキューブのサインオン情報を保存する」 (p. 19)

- 「セキュリティ保護されたデータベースのサインオン情報を保存する」 (p. 18)

- 「サードパーティ製キューブのサインオン情報を保存する」 (p. 19)

Access Manager コンポーネント

IBM Cognos 製品をインストールする際は、次のような Access Manager コンポーネントを選択

できます。

Access Manager Administration

この Windows ベースのツールは、管理者がユーザークラス、ユーザー、サーバー接続情報、

およびデータソースへのアクセスを設定および管理するために使用します。また、 Access

Manager Batch Maintenance および OLE オートメーションの 2 つの自動化インターフェイスも用

意されています。

Access Manager Server

Access Manager Server は、次の 2 つのサービスを管理する IBM Cognos セキュリティコンポー

ネントです。

- Ticket サービス

チケットを発行するサービス。チケットは、 Web ベースの IBM Cognos アプリケーション

のユーザーのシングルサインオンを管理するために使用されます。チケットは指定した期

間を対象に発行されるため、ユーザーは認証データを再入力せずに複数のアプリケーションにアクセスできます。

- Authentication サービス

Web ベースの IBM Cognos アプリケーションのユーザーを認証するためのサービス。デ

フォルトで、このサービスは無効です。

Access Manager Server は Ticket サービスまたは Authentication サービス、あるいはその両方とし

て設定できます。

Access Manager Server は各 IBM Cognos アプリケーションに対して 1 つ以上必要です。ディレク

トリサーバーと同じコンピュータにインストールすることを推奨します。 Access Manager

Server にフェイルオーバーと負荷分散を実装するには、追加の Access Manager Server をインス

トールし、 Configuration Manager で負荷分散を設定します。

Sun Java System Directory Server

Access Manager では、 LDAP 準拠のデータストアである Sun Java System Directory Server がサ

ポートされています。ディレクトリサーバーは、セキュリティ情報の保存と配布に使用しま

す。 Sun Java System Directory Server は IBM Cognos 製品ではありませんが、 Access Manager の

パッケージに付属しています。

Sun Java System Directory Server の詳細については、製品に付属のインストールおよび設定ガイ

ドを参照してください。

ディレクトリサーバーの設定

Configuration Manager を使用して、 IBM Cognos 製品で使用できるようにディレクトリサー

バーを設定します。

ディレクトリサーバーの設定については、製品に付属のインストール /構成ガイドを参照して

ください。

U IBM Cognos Series 7 Access Manager


Access Manager 信用サービスプラグイン SDK ガイド

このソフトウェア開発キット（SDK）を使用すると、 Access Manager の機能を拡張して、既存

のセキュリティインフラストラクチャを Access Manager で使用できるようになります。

Configuration Manager

セキュリティ保護された環境で作業するすべてのユーザーは、 Configuration Manager を実行し

て各自のセキュリティ情報の元データを指定できます。ディレクトリサーバーまたはローカ

ル認証エクスポートファイル（.lae）のいずれを使用するかを指定できます。

詳細については、「認証ソースの設定」 (p. 12) を参照してください。

Windows 共通ログオンサーバー

Windows ベースのアプリケーションを使用するユーザーが、 1 回のログオンで複数のデータ

ソースにアクセスできるように、ユーザーの情報を記録するサーバーです。

関連トピック






使用できるセキュリティオプション

Access Manager では、データソースやサーバーに対して、ユーザークラスによる保護と自動

アクセスを提供します。これらの機能は、次のセキュリティオプションと任意に組み合わせ

ることができます。

- パスワードによるアプリケーションのデータソースの保護

- リレーショナルデータベース管理システム（RDBMS）のパスワード

- サーバーのパスワード

ユーザーがデータソースを選択すると、定義されているセキュリティオプションの組み合わ

せに従って、ユーザー ID とパスワード情報の入力が要求されます。

ユーザークラス保護

ユーザークラス保護とはセキュリティのタイプの 1 つで、ユーザーがデータソースを表示す

るには、アプリケーションに要求されるユーザー名とパスワードの入力が必要です。データ

ソースへのアクセスは、そのデータソースへのアクセス権があるユーザークラスに属する

ユーザーにのみ許可されます。

ユーザークラスを設定すると、ユーザーがアクセスできる情報を指定したり、無許可のユー

ザーが情報にアクセスすることを禁止できます。たとえば、 Transformer の管理者は、 Access

Manager で作成したユーザークラスをキューブの特定のディメンションに適用することによっ

て、キューブを保護できます。キューブにアクセスする PowerPlay ユーザーは、自分が属して

いるユーザークラスにアクセス権があるディメンションだけを見ることができます。

ユーザークラスの詳細については、「ユーザークラスの設定：概要」 (p. 56) を参照してくださ

い。

自動アクセス

自動アクセスとは、ログオン情報を入力しなくても、パスワードで保護されたキューブ、データベース、またはサーバーにアクセスできる方法です。 Access Manager では、アプリケーショ

ンと連携して自動アクセスを実現します。

Access Manager 管理者ガイド =V


自動アクセスを使用すると、情報が 1 か所にまとめて保存されるため、複数の場所に保存され

ているユーザー ID とパスワードを記憶して入力する必要がない、バッチプロセスを連続して

実行できる、ユーザーのサインオン情報の更新が容易になるなどの利点があります。

自動アクセスの詳細については、「ユーザーの自動アクセスを設定する」 (p. 52) を参照してく

ださい。

パスワード保護

パスワード保護とはセキュリティの一種で、キューブなどのデータソースを表示する場合に、

ユーザーはアプリケーションの要求に応じてパスワードを入力する必要があります。パスワード保護をセキュリティとして使用する利点は、実現が容易でデータの安全性が高まることです。パスワード保護を実現するには、 Access Manager は必要ありません。

アプリケーションで使用できるパスワード保護オプションの詳細については、各アプリケーションのオンラインヘルプを参照してください。

関連トピック






他の IBM Cognos アプリケーションへのセキュリティの適用

セキュリティの方針を決定して Access Manager に実装したら、 IBM Cognos アプリケーション

からこれらのセキュリティを適用します。 Access Manager のセキュリティは、 IBM Cognos ア

プリケーションで次のように機能します。

Access Manager、 Transformer、および PowerPlay

Access Manager のユーザークラスを Transformer で使用すると、 Transformer モデルに制限を適

用し、これらのモデルから作成されたキューブの特定のディメンションに対するユーザーク

ラスのアクセスを制限できます。その後、ユーザーが PowerPlay レポートでキューブを表示す

ると、 Transformer で適用されたセキュリティに基づいて表示が制限されるようになります。

Access Manager と PowerPlay Enterprise Server

PowerPlay Enterprise Server にセキュリティを適用して、認証のないアクセスを拒否できます。

次に、キューブをサーバーに追加し、 Transformer で指定したキューブを保護するセキュリ

ティの元データを指定します。

Access Manager と Upfront

定義済みのユーザークラスを使用して、 Upfront の NewsBox および NewsItem に制限を適用で

きます。これらの制限は、他の IBM Cognos アプリケーションで適用したキューブまたはレ

ポート固有の制限に追加して適用できます。さらに Access Manager では、各ユーザーにパーソ

ナル NewsBox の所有を許可するかどうかも指定できます。

Access Manager と NoticeCast

定義済みのユーザークラスを使用して、警告や電子メールリストへのアクセスを制限します。

関連トピック




NM IBM Cognos Series 7 Access Manager




IBM Cognos アプリケーションによる認証データの使用

Access Manager を使用する IBM Cognos アプリケーションでは、保護されたデータに対する

ユーザーアクセスの識別は、同一のプロセスに従って処理されます。

プロセス詳細

ユーザーが、保護されたデータソー

ス（キューブ、レポートなど）を選択する。

アプリケーションにより、アプリケーションに対して定義されているユーザーとユーザークラス情報が、認

証ソースから読み取られる。

ソースがネームスペースの場合、特定のネームスペースの使用が指定されているかどうかが確認されます。ネームスペースが指定されていない場合は、Configuration Manager で指定されたデフォルトのネー

ムスペースが使用されます。このデフォルトのネームスペースが見つからない場合は、 Access Manager

Administration で指定されたデフォルトのネームスペー

スが使用されます。

ソースがローカル認証エクスポートファイル（.lae）

の場合、アプリケーションでファイルを開くには、ユーザーがファイルへのアクセス権を持っている必要があります (p. 44)。

Access Manager ネームスペース認証

が OS サインオンに設定されている

場合、 Access Manager では、認証

ソースで定義された OS サインオン

とシステム情報が比較される。

一致する場合は、 Access Manager によりユーザーが属

するユーザークラスとユーザーのアクセス権が OS サ

インオンに従って識別され、データソースへのユー

ザーアクセスが自動的に許可または拒否される。ユー

ザーは、ユーザー ID やパスワードを入力する必要は

ありません。

一致しない場合、またはユーザーの OS サインオンが

定義されていない場合、ユーザーは基本サインオン情報の入力を要求されます。

IBM Cognos 製品で基本サインオンを

使用する場合は、 Access Manager に

より、認証ソースで定義されている基本サインオン情報の入力が要求される。

ユーザー ID とパスワードの入力が要求され、認証

ソースに定義されている基本サインオンと比較される。一致する場合は、 Access Manager によりユーザー

が属するユーザークラスとユーザーのアクセス権が基

本サインオンに従って識別され、データソースへの

ユーザーアクセスが許可または拒否されます。

ユーザークラスの結合がサポートさ

れていない製品では、ユーザーが複数のユーザークラスに所属する場

合、現在のセッションで使用するユーザークラスを指定するよう要求

される。

ユーザークラスの結合がサポートさ

れている製品では、ユーザーのアクセス権は所属する全ユーザークラス

のアクセス権になる。

Access Manager によりユーザークラスのアクセス権が

識別され、データソースへのアクセスが許可または拒

否される。ユーザークラスを変更する場合は、データ

ソースを閉じてから、別のユーザークラスを使用して

もう一度開きます。

Access Manager 管理者ガイド =NN


Access Manager を IBM Cognos アプリケーションと連携して使用する方法の詳細については、

「アプリケーション間のセキュリティの設定」 (p. 69) を参照してください。

関連トピック






Access Manager 認証コンポーネントの設定オプション

ユーザー認証時に他のコンポーネントと通信するように、 Access Manager コンポーネントをさ

まざまな方法で設定できます。

クライアントとデフォルトの Web 認証

デフォルトで、 Access Manager ログインおよび実行時コンポーネントは、ユーザーを認証する

際にディレクトリサーバーと直接通信します。セッション情報を維持するために、 Windows

の場合、 Access Manager ログインおよび実行時コンポーネントは共通ログオンサーバーと通信

します。 UNIX および Web アプリケーションの管理ツールの場合、 Access Manager 実行時コン

ポーネントは Ticket サービスとして設定された Access Manager Server と通信します。

代替 Web 認証

Web 実装では、 Authentication サービスとして設定された Access Manager Server と通信するよう

に Access Manager ログインコンポーネントを設定できます。 Access Manager Server はディレク

トリサーバーと通信してユーザーを認証し、 Ticket サービスとして設定された Access Manager

Server と通信してセッション情報を維持します。

1 台のコンピュータにインストールした場合、 Access Manager Server は Authentication サービス

と Ticket サービスの両方の機能を果たし、それぞれのポートで通信します。複数のコンピュー

タにインストールした場合は、それぞれの Access Manager Server をいずれかのサービス用に設

定できます。フェイルオーバーや負荷分散を実装するために、複数の Authentication サービス

または Ticket サービスを設定する場合もあります。

詳細については、『高度なインストールの計画ガイド』を参照してください。

認証ソースの設定Access Manager に保存されているセキュリティ情報を使用するには、ユーザーは使用する認証

ソースを IBM Cognos 製品で指定する必要があります。認証ソースを指定しないと、実行時に

ユーザーの権限を検索して確認することができません。

ユーザーは、 IBM Cognos Series 7 のすべての製品でインストールされる Configuration Manager

の Access Manager - Runtime コンポーネントを使用して、認証ソースを指定します。

認証ソースには、主に次の 2 つのタイプがあります。

- ディレクトリサーバー

OS サインオンが一致しない場合、

または有効な基本サインオンがない場合は、無効なユーザーと判断される。

アプリケーションにより、データソースへのユーザー

アクセスが拒否される。

プロセス詳細

NO IBM Cognos Series 7 Access Manager



関連トピック






SSL （Secure Sockets Layer）のセキュリティ

Access Manager では、次のタイプの通信の SSL をサポートしています。

- ブラウザと Web サーバー間で保護されたハイパーテキスト転送プロトコル（HTTPS）を使

用する通信。 Web サーバーの SSL 設定については、製品のインストールおよび構成ガイド

を参照してください。

- ディレクトリサーバー間での機密情報の通信。

- クライアントおよびデフォルトの Web 認証設定では、 SSL を使用して、ログインプロ

セスおよび Access Manager Runtime からディレクトリサーバーへの通信を保護できま

す。

- 代替 Web 認証設定では、 SSL を使用して、 Access Manager Server Authentication サービ

スからディレクトリサーバーへの通信を保護できます。

- Access Manager Server Authentication サービス間で機密情報を交換する通信。代替 Web 認証

設定では、 SSL を使用して、ログインプロセスから Access Manager Server Authentication

サービスへの通信を保護できます。

ディレクトリサーバーと Access Manager Server Authentication サービスの SSL 設定の詳細につ

いては、「ディレクトリサーバーの Secure Sockets Layer （SSL）を設定する」 (p. 24) を参照して

ください。

関連トピック






ユーザーの識別：概要Access Manager では、ユーザーの識別に異なるサインオン方式を使用できます。サインオン方

式は、ネームスペースレベル、またはユーザーレベルで識別できます。サインオン方式では、

基本サインオン、オペレーティングシステム（OS）サインオン、またはこの両方を使用でき

ます。複数のサインオン方式をネームスペースレベルで選択した場合、そのネームスペース

内のユーザーには、いずれかの方式を割り当てることができます。

また、ネームスペースとユーザープロパティを使用して、ログオン試行、ロックアウト期間、

ユーザー ID などの基本設定を定義できます。パスワードの規則を定義するには、ネームス

ペースのプロパティを使用します。

詳細については、「Access Manager のネームスペース」 (p. 14) を参照してください。

関連トピック

- 「Access Manager のネームスペース」 (p. 14)

Access Manager 管理者ガイド =NP






Access Manager のネームスペース

Access Manager のネームスペースには、 1 つ以上の IBM Cognos アプリケーションのセキュリ

ティ情報が含まれています。ネームスペースは、ディレクトリサーバーまたはローカル認証

エクスポートファイル（.lae）に保存できます。ディレクトリサーバーを使用すると、各ユー

ザーに個別のファイルを配布してセキュリティを適用する必要がなくなります。 Access

Manager では、 Sun Java System Directory Server が Access Manager の一部としてインストールさ

れます。通常、ローカル認証エクスポートファイルは、ユーザーがネットワークにアクセス

できない環境か、デモンストレーション環境で使用します。ローカル認証エクスポートファ

イルは、シングルユーザーオペレーション専用です。

テストを目的とする場合を除き、ビジネスエンタープライズプラットフォームのアプリケー

ションすべてに対して、 1 つのネームスペースを使用します。これにより、メンテナンスの手

間が軽減されます。たとえば、 PowerPlay Enterprise Server に任意のネームスペースを使用し、

Upfront に別のネームスペースを使用する場合は、ユーザー情報を両方のネームスペースに含

める必要があります。

複数のネームスペースを使用する場合、同一のユーザーが複数のネームスペースに存在する状態で次のフィールドを変更すると、すべてのネームスペースにその変更が反映されることに注意してください。

- 説明

- 姓

- 名

- メールアドレス

- 電話番号

- 優先言語

関連トピック







基本サインオン

基本サインオンでは、 Access Manager により各ユーザーのユーザー ID とパスワードが保存、

および管理されます。

基本サインオン情報は、 Access Manager Administration で選択、および入力します。ユーザーが

セキュリティで保護されたアプリケーションを開く際には、各自に割り当てられたユーザー

ID およびパスワードの入力を求められます。

関連トピック




NQ IBM Cognos Series 7 Access Manager




外部サインオン

ユーザーにオペレーティングシステムまたは他のアプリケーションのサインオンが既に割り

当てられている場合、さらに Access Manager 用のサインオンを割り当てると不都合な場合があ

ります。 Access Manager で既存のサインオン情報を使用するには、いくつかの方法がありま

す。

また、 Access Manager 信用サービスプラグイン SDK （ソフトウェア開発キット）を使用する

と、 Access Manager 外部での認証の必要条件に対応することができます。

詳細については、 Access Manager の『信用サービスプラグイン SDK ガイド』を参照してくだ

さい。

Windows ユーザーの場合

ユーザーが Windows にサインオンする場合は、各ユーザーの Windows サインオン情報を

Access Manager Administration に入力します。ユーザーがセキュリティで保護されたアプリケー

ションを開くと、 Access Manager により Windows サインオン情報が検索され、 Access Manager

Administration でユーザーに対して入力されたサインオン情報と比較されます。両者が一致す

ると、ユーザーはセキュリティで保護されたアプリケーションへのアクセスを許可されます。

Web ユーザーの場合

ユーザーがセキュリティで保護されたアプリケーションに Web 経由でアクセスする場合、

Access Manager では、統合 Windows 認証および環境変数または Cookie に保存されている認証

情報が使用されます。環境変数を使用する場合は、ユーザーの OS サインオンが環境変数また

は Cookie によって返された値と照合されます。

詳細については、「統合 Windows 認証」 (p. 16)および「Web ユーザーのネームスペース OS サ

インオンに変数を使用する」 (p. 33) を参照してください。

関連トピック






共通ログオンまたはシングルサインオン

共通ログオンまたはシングルサインオンを使用すると、保護された複数の IBM Cognos アプリ

ケーションに 1 回のセッションでアクセスできます。 Windows 製品では共通ログオンが使用さ

れ、 Web ベースの製品ではシングルサインオンが使用されます。

共通ログオンまたはシングルサインオンでは、ユーザーの認証データが管理され、適切なア

クセス権を持つユーザーがさまざまな IBM Cognos 製品で、複数の保護されたデータソースを

開くことができるようになります。複数の IBM Cognos アプリケーション間でドリルスルーや

移動を行う場合でも、ユーザーはユーザー ID とパスワードを 1 回入力するだけですみます。

いったん保護されたデータソースを開くと、共通ログオンまたはシングルサインオンにより

ユーザーが追跡され、複数のデータソースへのアクセスが制御されます。

Access Manager 管理者ガイド =NR


Windows ユーザーの場合

Windows では、 Windows 共通ログオンサーバーによってユーザーが識別され、関連するセ

キュリティ情報がユーザーのローカルコンピュータに保存されます。 Windows 共通ログオン

サーバーがインストールされている場合、 IBM Cognos プラットフォームの Windows ベースコ

ンポーネントに対する認証を呼び出すと、 Windows タスクバーのシステムトレイにカギのア

イコンが表示されます。ユーザーが別の IBM Cognos アプリケーションを開くと、新しいアプ

リケーションでは、保存されている情報によってユーザーが識別され、必要なセキュリティ制限が適用されます。ユーザーを識別する情報は、そのユーザーが IBM Cognos アプリケーショ

ンをすべて終了するか、 Windows Common Logon Server からログオフするまで、 Windows

Common Logon Server に保存されます。

Web ユーザーの場合

Web ユーザーに対しては、ユーザーの識別時に Ticket サービスによってチケットが発行されま

す。チケットへの参照は、ユーザーが使用する Web ブラウザの cookie に保存されます。ユー

ザーが別の IBM Cognos アプリケーションを開くと、新しいアプリケーションでは、保存され

ているチケット情報によってユーザーが識別され、必要なセキュリティ制限が適用されます。ユーザーのブラウザセッションが終了すると、 cookie は削除されます。

共通ログオンまたはシングルサインオンの詳細については、製品のインストール /構成ガイド


関連トピック






統合 Windows 認証

統合 Windows 認証は、 Windows NT チャレンジ / レスポンスとも呼ばれます。

統合 Windows 認証は、既にログオンしているユーザーがユーザー ID とパスワードを再入力せ

ずに他のアプリケーションを開くことができる Microsoft Internet Information Server （IIS）の機

能です。この機能を使用すると、 Web 製品へのユーザーのログオンを簡略化できます。管理

ユーティリティへのアクセスには影響しません。

統合 Windows 認証では、 Microsoft Internet Information Server （IIS）により、 Internet Explorer

Web ブラウザからユーザーの Windows ドメインログイン名が取得されます。 Netscape などの

別のブラウザを使用する場合は、ユーザー ID とパスワードの入力が必要です。

統合 Windows 認証の詳細については、製品のインストールおよび構成ガイドを参照してくだ

さい。

ユーザーに、従来のサインオン（基本サインオンまたはオペレーティングシステムサインオ

ン）を設定することもできます。詳細については、「ユーザーにサインオンを設定する」 (p. 49)


注

Access Manager では、統合 Windows 認証または Windows NT チャレンジ / レスポンスをサポー

トしています。この認証方法は、 Microsoft Internet Information Server （IIS） 5.x では統合

Windows 認証と呼ばれ、 IIS 3.x および 4.x では Windows NT チャレンジ / レスポンスと呼ばれ

ています。

関連トピック


NS IBM Cognos Series 7 Access Manager






ユーザー

ネームスペースにはユーザーが含まれています。ユーザーの追加や管理を行うには、 Access

Manager Administration インターフェイスを使用します。ネームスペースにユーザーを作成する

のではなく、ディレクトリサーバーの他の場所に定義されたユーザーにリンクすることもで

きます。ユーザーのリンクの詳細については、「外部ユーザーサポートを使用可能にす

る」 (p. 41) を参照してください。

Access Manager のユーザーは、少なくとも 1 つのユーザークラスに所属する必要があります。

また、複数のユーザークラスに所属することもできます。

ユーザーにはプロパティがあり、個人情報、サインオン基本設定、 PowerPlay と Transformer

サーバーの接続情報、ユーザークラスのメンバーシップ、地域設定、および Upfront における

パーソナル NewsBox 使用の可否を入力できます。

必要なユーザーのタイプを定義するには、次の 2 つの基本的な方法があります。

ユーザーすべてに同じ制限を適用する

セキュリティで保護された情報に対し、ユーザーすべてに同じ制限を適用したい場合があります。

この場合、ネームスペースに対して匿名ユーザーを定義します。匿名ユーザー用にネームスペースを設定する場合、すべてのユーザーは 1 つのグループとみなされ、同じセキュリティ制

限を共有します。これらのセキュリティ制限は、匿名ユーザーが属するユーザークラスに

よって決定されます。匿名ユーザーはグループと見なされるため、個々のユーザーを識別するためのサインオン情報は必要ありません。

ネームスペースで匿名ユーザーの使用を選択した場合、管理者を除くその他のユーザータイ

プは必要ありません。

各ユーザーに異なる制限を適用する

セキュリティで保護された情報に対して、ユーザーごとに異なる制限を適用したい場合があります。

この場合、名前付きユーザー用、またはゲストユーザーと名前付きユーザー用にネームス

ペースを設定します。名前付きユーザーは個人として判断され、所属するユーザークラスに

応じて異なるセキュリティ制限が適用されます。ゲストユーザーは 1 つのグループと見なさ

れ、同じセキュリティ制限を共有するという点で、匿名ユーザーと同じです。これらのセキュリティ制限は、ゲストユーザーが属するユーザークラスによって決定されます。

名前付きユーザーは、情報へのアクセスに対する制限を共有しないため、サインオン方式の 1

つを使用して識別する必要があります。ゲストユーザーはグループと見なされるため、個々

のユーザーを識別するためのサインオン情報は必要ありません。

ネームスペースで名前付きユーザー、または名前付きユーザーとゲストユーザーの使用を選

択すると、匿名ユーザーは使用できなくなります。

関連トピック

- 「ユーザークラス」 (p. 18)

Access Manager 管理者ガイド =NT


ユーザークラス

ユーザークラスとは、同じアクセス権を持つユーザーのグループです。 Access Manager では、

ユーザークラスレベルでセキュリティが適用されます。 Access Manager でユーザークラスを

作成し、ユーザークラスにユーザーを追加します。次に、他の IBM Cognos 製品で、既存の

ユーザークラスに基づいてセキュリティを適用します。ユーザークラスは階層状に整理され、

一般的に企業の組織構造を反映します。

ユーザークラスを使用して、レポート、キューブ、 NewsItem などに対するアクセスを制限で

きます。ユーザークラスのセキュリティは、アプリケーション固有のセキュリティ

（PowerPlay キューブのフィルタなど）とは異なります。

ユーザー全員がアクセスする必要がある情報に対しては、既存のユーザークラスをパブリッ

クユーザークラスに指定できます。すべてのユーザーは自動的にこのユーザークラスに追加

されます。パブリックユーザークラスにアクセス権を付与すると、すべてのユーザーがこの

情報へアクセスできるようになります。

ユーザークラスのプロパティを使用して、システムへのアクセス時間を制限したり、各ユー

ザークラスに管理業務を委任することができます。

詳細については、「使用できるセキュリティオプション」 (p. 9) を参照してください。

関連トピック

- 「ユーザー」 (p. 17)

IBM Cognos サーバーの接続情報を保存する

PowerPlay Enterprise Server および Transformer サーバーの接続情報を保存できます。

接続情報を保存すると、有効なサーバーのリストが作成されます。ユーザーは Transformer ま

たは PowerPlay クライアントアプリケーションの使用時に、そのリストからサーバーを選択し

ます。

また、 Transformer サーバーのサインオン情報を、 Access Manager に保存することもできます。

ユーザーが Transformer サーバーにアクセスすると、必要なサインオン情報が Access Manager

によって提供されます。

関連トピック




セキュリティ保護されたデータベースのサインオン情報を保存する

データベースをセキュリティで保護しているとき、ユーザーがデータベースへアクセスするたびにサインオン情報の入力を省略したい場合があります。セキュリティで保護されたデータベースに関する情報は、必要なサインオン情報も含めて Access Manager に保存できます。その

後、保存したサインオン情報を個々のユーザーに関連付けることができます。これは、ユーザーにとって便利であるだけでなく、セキュリティで保護されたデータベースにアクセスするバッチジョブを実行する場合には非常に重要です。

たとえば、就業時間の終了時にセキュリティで保護されたデータベースを使用するバッチ

ジョブを実行するユーザーがいる場合、必要なサインオン情報を Access Manager に保存できま

す。その後、その情報をバッチジョブを実行するユーザーに関連付けます。バッチジョブが

実行されセキュリティ保護されたデータベースにアクセスすると、必要なサインオン情報が

Access Manager によって提供されます。

関連トピック


NU IBM Cognos Series 7 Access Manager




セキュリティ保護されたキューブのサインオン情報を保存する

PowerPlay キューブをセキュリティで保護しているとき、ユーザーがキューブへアクセスする

たびにサインオン情報を入力することを省略したい場合があります。セキュリティで保護された PowerPlay キューブに関する情報は、必要なサインオン情報も含めて Access Manager に保存

できます。その後、保存したサインオン情報を個々のユーザーに関連付けることができます。

たとえば、セキュリティで保護された PowerPlay キューブがあるとします。必要なサインオン

情報は、 Access Manager に保存できます。その後、情報を個々のユーザーに関連付けます。

ユーザーが保護されたキューブにアクセスすると、必要なサインオン情報が Access Manager に

よって提供されます。

関連トピック




サードパーティ製キューブのサインオン情報を保存する

IBM Cognos アプリケーションでは、サードパーティ製アプリケーションでセキュリティ保護

されたサードパーティ製データも使用できます。このようなとき、ユーザーがデータベースへアクセスするたびにサインオン情報を入力することを省略したい場合があります。必要なサインオン情報やセキュリティ保護されたデータに関する他の情報は、 Access Manager に保存でき

ます。その後、保存したサインオン情報を個々のユーザーに関連付けます。

たとえば、セキュリティで保護された Hyperion Essbase キューブがあるとします。必要なサイ

ンオン情報は、 Access Manager に保存できます。その後、情報を個々のユーザーに関連付けま

す。ユーザーが保護されたキューブにアクセスすると、必要なサインオン情報が Access

Manager によって提供されます。

関連トピック




管理業務を委任する

選択したユーザークラスのメンバーに対して、 Access Manager Administration を使用した管理

業務の実行を許可できます。これらの管理権限は、 Upfront における Access Manager の Web

ベースの管理にも適用されます。

ユーザークラスには、ユーザークラスのメンバーに対して、ユーザー、ユーザークラス、

データソース、 PowerPlay、 Transformer サーバーを表示、追加、削除する権限を与えるかどう

かを定義できるプロパティがあります。

また、ユーザークラスのメンバーに対して、 Upfront のさまざまな個人設定を変更する権限を

与えるかどうかも指定できます。

関連トピック

- 「自動管理」 (p. 20)

- 「ユーザークラスの権限を設定する」 (p. 59)

Access Manager 管理者ガイド =NV


自動管理

Access Manager Administration で実行する管理業務は自動化できます。操作の手間を軽減するた

めに単純なタスクを自動化するには、バッチコマンドプロセッサを使用します。コンピュー

タプログラミングの知識を必要とする複雑なタスクを自動化するには、 OLE オートメーショ

ンを使用します。

バッチのメンテナンス

Windows および UNIX のユーザーは、 Access Manager でバッチコマンドプロセッサを使用し

て、ユーザーやユーザークラスを作成、または削除したり、ネームスペース、ユーザー、

ユーザークラス、 PowerPlay、 Transformer サーバー、データソースのプロパティを設定できま

す。

バッチコマンドプロセッサでは値を設定できますが、値を返すことはできません。このため、

条件処理は実行できません。バッチコマンドプロセッサは、含まれるオブジェクト名すべて

が既知のスクリプトでのみ実行できます。オブジェクトのコレクションは処理できません。

バッチメンテナンスについては、『Access Manager Batch Maintenance ガイド』を参照してくだ

さい。

OLE オートメーション

コンピュータプログラミングの知識がある Windows ユーザーは、 OLE （Object Linking and

Embedding）自動化を使用できます。 OLE オートメーションでは、 Access Manager

Administration ユーザーインターフェイスの全機能にアクセスできます。 OLE オートメーショ

ンを使用すると、オブジェクトのコレクションを使用したり、条件付き処理の値を設定、および返すことができます。

OLE オートメーションについては、『Access Manager Batch Maintenance ガイド』を参照してく

ださい。

関連トピック

- 「管理業務を委任する」 (p. 19)

OM IBM Cognos Series 7 Access Manager

第 2 章 : 認証ソースの設定

認証ソースには、ユーザー、ユーザークラス、およびユーザーがアクセスできるサーバーと

データソースのセキュリティ情報が含まれています。認証ソースの接続情報は、 IBM Cognos

セキュリティ管理（.csa）ファイルに保存されます。

Access Manager では、次のタイプの認証ソースをサポートしています。

- LDAP ディレクトリサーバー上のネームスペース


多数のユーザーがディレクトリサーバーと同じネットワークに接続している場合は、ディレ

クトリサーバーのネームスペースを使用します。リモートユーザーやオフラインで作業して

いるユーザーなど、ユーザーがディレクトリサーバーと同じネットワークに接続していない

場合は、 .lae ファイルを使用します。また、ユーザーがネットワークに接続しているかどうか

にかかわらず、代わりの認証ソースとして .lae ファイルを使用することもできます (p. 44)。

IBM Cognos セキュリティ管理（.csa）ファイルには、ディレクトリサーバーおよび .lae ファイ

ルのすべての接続情報が含まれています。

接続情報の保存については、「認証ソースの接続情報を保存する」 (p. 21) を参照してください。

関連トピック

- 「ディレクトリサーバーへのアクセス：概要」 (p. 22)

- 「代替の認証ソース：概要」 (p. 43)

- 「認証ソースの接続情報を保存する」 (p. 21)


認証ソースの接続情報を保存する

説明

初めて Access Manager を使用すると、空の IBM Cognos セキュリティ管理ファイル（.csa）が

自動的に開き、すぐに使用できる状態になります。このファイルは、認証ソースすべての接続情報を保存するために使用します。

ファイルに追加した新しい接続情報をまだ保存していない場合は、 Access Manager を終了する

前にファイルを保存するように求めるプロンプトが表示されます。

手順

1. ［ファイル］メニューの［名前を付けて保存］をクリックします。

2. ［ファイル名］ボックスにファイル名を入力します。

3. ［保存する場所］ボックスで、ファイルを保存する場所を選択します。

4. ［保存］をクリックします。

ヒント

- Access Manager を開くたびに特定の IBM Cognos セキュリティ管理ファイル（.csa）が自動

的に開くようにするには、その .csa ファイルをデフォルトとして設定します。 Access

Manager で目的の .csa ファイルを開いた状態で、［ファイル］メニューの［デフォルトに設

定］をクリックします。

ON Licensed Materials - Property of IBM



関連トピック


ディレクトリサーバーへのアクセス：概要

Access Manager では、認証データの主要な保存先として LDAP ディレクトリサーバーが使用さ

れます。これを可能にするには、ディレクトリサーバーのインストールおよび設定が必要に

なります。 Access Manager をインストールすると、 Sun Java System Directory Server がインス

トールされます。既にディレクトリサーバーを使用して PowerPlay、または PowerPlay Web の

認証データを展開している場合は、既存の認証データベースを使用できます。既存のディレクトリサーバーを使用するか、新しくインストールするかにかかわらず、サーバースキーマを

拡張して Access Manager が使用するオブジェクトクラスと属性を含めることが必要です。

ディレクトリサーバーに認証データを保存するには、Access Manager を使用してディレクトリ

サーバーとの接続を設定する必要があります。接続を定義した後、ネームスペースを作成できます。このネームスペースには、ユーザー、ユーザークラス、アプリケーションサーバー、

およびデータソース情報を保存できます。

ディレクトリサーバーの設定については、製品のインストールおよび構成ガイドを参照して

ください。

関連トピック

- 「ディレクトリサーバーに接続する」 (p. 22)

- 「ディレクトリサーバーの接続を変更する」 (p. 23)

- 「ディレクトリサーバーの接続をテストする」 (p. 24)


- 「ディレクトリサーバーの Secure Sockets Layer （SSL）を設定する」 (p. 24)

ディレクトリサーバーに接続する

説明

認証データを保存するネームスペースを作成する前に、使用する各ディレクトリサーバーと

の接続を作成する必要があります。ディレクトリサーバーと正常に接続するには、いくつか

の接続情報が必要です。

- ホスト（名前または IP アドレス）

- ポート

- 基本識別名（DN）

これらの情報が手元にない場合は、ディレクトリサーバーの管理者に問い合わせてください。

ディレクトリサーバーに接続したら、接続が正しく動作していることを確認するため、接続

をテストする必要があります。詳細については、「ディレクトリサーバーの接続をテストす


トラブルシューティングのセクションには、 SSL 用に設定されたディレクトリサーバーへの

接続時に発生する問題の解決方法が記載されています (p. 80)。

注

同一の認証データを複数のディレクトリサーバーに分散して保存することはお勧めできませ

ん。分散して保存すると、認証データの修正が必要になった場合に、すべてのディレクトリ

サーバーで同じ修正を行う必要があります。セキュリティ情報すべてを 1 つのディレクトリ

サーバーに保存すれば、常に最新の情報が保証されるだけでなく、管理の手間も省けます。

手順

1. ［認証情報］ウィンドウで、 “ディレクトリサーバー” フォルダをクリックします。

OO IBM Cognos Series 7 Access Manager


2. ［アクション］メニューの［接続の追加］をクリックします。

3. ［全般］タブの［ホスト］ボックスに、ディレクトリサーバーがインストールされている

サーバーの名前、または IP アドレスを入力します。

4. ［ポート /SSL ポート］ボックスに、ディレクトリサーバーで使用するポートを入力しま

す。

デフォルトのポートは 389 です。ディレクトリサーバーをインストールすると、このポー

トが LDAP サーバーに割り当てられます。コンピュータに複数のサーバーがある場合は、

各サーバーをポート名で区別します。

5. ［タイムアウト］ボックスに、ユーザーがディレクトリサーバーとの接続を確立するまで

の時間制限を秒単位で入力します。

6. ［基本識別名（DN）］ボックスに、 LDAP 標準に準拠したルートディレクトリの DN を入

力します。

DN は、 Sun Java System Directory Server をインストールしたときに［ディレクトリサ

フィックス］ボックスに入力した名前で、たとえば「o=Cognos, c=CA」などです。ディレ

クトリサーバーをインストールしていない場合は、必要な DN を管理者に問い合わせてく

ださい。

7. ［ログオン］をクリックします。

8. ［OK］をクリックします。

関連トピック





ディレクトリサーバーの接続を変更する

説明

ディレクトリサーバーの接続を変更したり、接続プロパティの表示が必要になる場合があり

ます。たとえば、ディレクトリサーバーの管理者が基本識別名（DN）などのサーバープロパ

ティを変更した場合は、ディレクトリサーバーの接続に同じ変更を行わない限り、接続を使

用できません。

ディレクトリサーバーの接続を変更した後、接続が正しく動作していることを確認するため、

接続をテストする必要があります。

詳細については、「ディレクトリサーバーの接続をテストする」 (p. 24) を参照してください。

手順

1. ［認証情報］ウィンドウで “ディレクトリサーバー” フォルダをダブルクリックして内容

を表示します。

2. 適切なディレクトリサーバーを選択します。

3. ［編集］メニューの［プロパティ］をクリックします。

4. 接続のプロパティを必要に応じて変更します。

関連トピック





Access Manager 管理者ガイド =OP


ディレクトリサーバーの接続をテストする

説明

ディレクトリサーバーの接続をテストして、正常に動作しているかどうかを確認できます。

この操作は、通常、新しい接続を設定または変更した直後に実行します。ただし、ネームスペースを操作するときに問題が発生する場合があります。このような場合でも、ディレクトリ

サーバーの接続をテストすることによって、問題の原因が接続に関係しているかどうかを判断できます。

手順



2. 適切なディレクトリサーバーを選択します。


4. ［全般］タブの［テスト］をクリックします。

ディレクトリサーバーが応答しているかどうかを示すメッセージが表示されます。

テストに失敗した場合は、ディレクトリサーバーの管理者に問い合わせてください。

トラブルシューティングのセクションには、 SSL 用に設定されたディレクトリサーバーへの

接続時に発生する問題の解決方法が記載されています (p. 80)。

関連トピック





ディレクトリサーバーの Secure Sockets Layer （SSL）を設定する

説明

Secure Sockets Layer （SSL）は、保護されたネットワーク通信環境を提供する標準プロトコル

です。 Access Manager では、ディレクトリサーバー間、および Access Manager ログインプロ

セスと Access Manager Server Authentication サービス間で機密情報を交換するために SSL をサ

ポートしています。

SSL 接続を設定するには、第三者の認証局から証明書を入手するか、または Netscape

Certificate Server や Microsoft Certificate Server などの認証局（CA）を設定し、独自の証明書を

発行して管理する必要があります。詳細については、第三者の認証局から提供されているドキュメントを参照してください。

証明書は、認証データベースに保存されます。 Access Manager では、証明書データベースとし

て “cert7.db” ファイル形式を使用する必要があります。 “cert7.db” ファイルに証明書を追加ま

たは更新するには、 Netscape Navigator 4.x などのツールを使用します。

代替 Web 認証設定では、ディレクトリサーバーで SSL を設定してから、 Access Manager ログ

インプロセスと Access Manager Server Authentication サービス間の SSL を設定します。

ディレクトリサーバーで SSL を設定する手順

1. ディレクトリサーバーで SSL を有効にします。詳細については、使用するディレクトリ

サーバーのマニュアルを参照してください。

2. “cert7.db” ファイルを入手し、手順 1 で使用した CA がこの証明書データベースで信頼さ

れていることを確認します。

3. Access Manager Administration でディレクトリサーバーを管理するには、次の手順を実行

します。

OQ IBM Cognos Series 7 Access Manager


- ［認証情報］ウィンドウで “ディレクトリサーバー” フォルダをダブルクリックし、

内容を一覧表示します。一覧で適切なディレクトリサーバーをクリックします。

- ［編集］メニューの［プロパティ］をクリックし、［全般］タブの［SSL を使用可能に

する］チェックボックスをオンにします。

- 認証データベースが設定されていない場合は、［SSL 設定］ダイアログボックスが表

示されます。 Netscape 証明書データベースファイル “Cert7.db” の場所を入力し、 SSL

ポート番号を入力します。デフォルトのポートは 636 です。

- ディレクトリサーバーとの通信をすべて SSL ポート上で行う場合は、［全接続に SSL

が必要］チェックボックスをオンにします。これにより、保護されていないポート

（デフォルトは 389）上で行われるディレクトリサーバーとの通信がすべて中止されま

す。

注：［全接続に SSL が必要］チェックボックスをオンにすると、ディレクトリサー

バークライアントは保護されていないポートを経由して接続できません。

4. IBM Cognos セキュリティを使用するすべてのコンピュータでディレクトリサーバーへの

通信に SSL を使用するように、 Configuration Manager で Access Manager Runtime を設定し

ます。

SSL は、プライマリ認証サーバーとすべてのセカンダリ認証サーバーに対して有効にする

必要があります。また、プライマリ鍵の場所に有効な鍵ストアが含まれていることも確認

する必要があります。詳細については、『Configuration Manager ユーザーガイド』を参照し

てください。

Access Manager ログインプロセスと Access Manager Server Authentication サービス間の SSL を設定する手順

1. Access Manager Server がインストールされているコンピュータの “＜インストールディレ

クトリ＞ /bin” ディレクトリにある AmKeyTool を使用して、秘密鍵と証明書署名要求

（Certificate Signing Request ： CSR）を生成します。

- CLASSPATH 環境変数を設定します。

- コマンドラインで「java AmKeyTool -c -f ＜生成される CSR ファイル＞ -k ＜秘密鍵の

場所＞ -p ＜秘密鍵のパスワード＞ -d ＜証明書識別名＞」と入力します。

AmKeyTool のコマンドラインの使用方法を表示するには、コマンドラインで

「AmKeyTool」と入力します。

注：すべての手順を完了するまで、このコマンドラインウィンドウを閉じないでくださ

い。

2. 手順 1 で生成した CSR を使用して CA から証明書を入手します。

3. 手順 2 で CA によって生成された証明書を Access Manager Server の鍵ストアにインポート

します。コマンドラインで「java AmKeyTool -i -f ＜証明書ファイル＞ -k ＜秘密鍵の場所

＞ -p ＜秘密鍵のパスワード＞」と入力します。

AmKeyTool のコマンドラインの使用方法を表示するには、コマンドラインで

「AmKeyTool」と入力します。

4. Access Manager Server Authentication サービスで SSL を有効にします。詳細については、

『Configuration Manager ユーザーガイド』を参照してください。

5. “cert7.db” ファイルを入手し、手順 2 で使用した CA がこの証明書データベースで信頼さ

れていることを確認します。

環境環境変数

Windows、 JRE 1.4 または 1.5 set CLASSPATH=.;AmKeyTool.jar;bcprov-jdk13-113.jar

UNIX、 JRE 1.4 または 1.5 setenv CLASSPATH .:AmKeyTool.jar:bcprov-jdk13-113.jar

Access Manager 管理者ガイド =OR


6. IBM Cognos ゲートウェイがインストールされている各コンピュータで、 Access Manager

Server Authentication サービスへの通信に SSL を使用するように Access Manager Web

Authentication を設定します。詳細については、『Configuration Manager ユーザーガイド』を

参照してください。

注：複数の Access Manager Server Authentication サービスをインストールする場合は、サービス

ごとに上記の手順を繰り返す必要があります。

関連トピック





ネームスペースの設定：概要ディレクトリサーバーを使用して認証データを保存するには、ディレクトリサーバーのネー

ムスペース（ディレクトリとも呼びます）を設定する必要があります。ネームスペースとは、ユーザーサインオンやユーザークラス、データソース、アプリケーションサーバーのアクセ

ス権などの認証データを実際に保存する場所です。

ネームスペースの認証データの変更については、「認証ソースの設定」 (p. 21) を参照してくだ

さい。

Access Manager でネームスペースを使用するためには、まずネームスペースの追加、ネームス

ペースへのログオン、およびプロパティの設定を行います。

関連トピック

- 「ネームスペースを追加する」 (p. 26)

- 「ネームスペースの管理者を追加する」 (p. 30)

- 「ネームスペースに含まれるユーザーの地域設定を定義する」 (p. 35)

- 「リモートユーザーのためにネームスペースをエクスポートする」 (p. 37)

- 「ネームスペースにログオンする」 (p. 28)

- 「その他のユーザーとしてネームスペースにログオンする」 (p. 29)

- 「ネームスペースの概要情報を入力する」 (p. 30)

- 「ディレクトリサーバーにデフォルトのネームスペースを設定する」 (p. 36)

- 「ネームスペースに含まれるユーザーのパスワードプロパティを設定する」 (p. 34)

- 「ネームスペースに含まれるユーザーのサインオンプロパティを設定する」 (p. 32)

- 「ディレクトリサーバー間でネームスペース情報を転送する」 (p. 38)

- 「ネームスペースをアップグレードする」 (p. 40)


ネームスペースを追加する

説明

ユーザーまたはユーザークラスを作成したり、ユーザーがアクセスするアプリケーション

サーバーやデータソースのサインオン情報を追加したりするには、まずディレクトリサー

バーにネームスペースを作成する必要があります。

ディレクトリサーバーに作成できるネームスペースの数に制限はありません。ただし、管理

を容易にするため、組織内で使用するアプリケーションすべてに対して、単独のネームスペースを使用することをお勧めします。

OS IBM Cognos Series 7 Access Manager


ディレクトリサーバーにネームスペースを追加する前にネームスペースを設定して認証デー

タを追加するには、ローカル認証エクスポートファイル（.lae）にネームスペースを作成し、

ディレクトリサーバーの空のネームスペースに .lae ファイルをインポートします。

詳細については、「ローカル認証エクスポートファイルをネームスペースにインポートす


注

ネームスペース名の最初の文字には、空白を使用できません。

手順



2. ネームスペースを追加するディレクトリサーバーを選択します。

3. ［アクション］メニューの［ネームスペースの追加］をクリックします。

4. ［実行時アドミニストレータ識別名（DN）］ボックスに、ディレクトリサーバーのログオ

ンに使用する名前を入力します。

5. ［実行時アドミニストレータパスワード］ボックスに、対応するパスワードを入力します。


7. ［名前］ボックスに、ネームスペースの名前を入力します。

8. 必要に応じて、［説明］ボックスにネームスペースの説明を入力します。

9. 別のタブをクリックして、ネームスペースのその他のプロパティを設定します。


ディレクトリサーバーに新しいネームスペースが作成され、デフォルトのユーザー

“Administrator” が表示されます。

ヒント

- ネームスペースを削除するには、ネームスペースを選択し、［アクション］メニューの［削除］をクリックします。削除できるのは、アドミニストレータとしてアクセスできるネームスペースだけです。ネームスペースを削除すると、ネームスペースとネームスペースに含まれる認証データがディレクトリサーバーから永久に削除されます。また、ディレ

クトリサーバーからネームスペースを削除した場合、操作を元に戻すことはできず、デー

タを修復することもできません。

デフォルトに設定されているネームスペースは削除できません。

関連トピック













Access Manager 管理者ガイド =OT


ネームスペースにログオンする

説明

ネームスペースにアクセスして内容を変更するには、ネームスペースにログオンできることが必要です。 Access Manager を使用してネームスペースにログオンするには、基本サインオンを

持ち、ネームスペースの内容を表示または編集する権限があるユーザークラスに属している

必要があります。

デフォルトでは、各ネームスペースに “Administrator” という管理者用のユーザー ID が含まれ

ています。このユーザー ID にはパスワードがなく、ルートユーザークラスに属します。最初

にネームスペースにログオンするには、このデフォルトのユーザー ID を使用します。

ネームスペースにいったんログオンすると、セッションを通じて（Access Manager を終了する

まで）ログオンしている状態が継続します。

管理者のユーザー ID の追加については、「ネームスペースの管理者を追加する」 (p. 30) を参照

してください。

手順

1. ［認証情報］ウィンドウで、 “ディレクトリサーバー” フォルダをダブルクリックして開き

ます。

2. アクセスするネームスペースを含むディレクトリサーバーを、ダブルクリックします。

3. ネームスペースを選択します。

4. Access Manager ウィンドウの右側ウィンドウで、［ログオン］をクリックします。

5. ユーザー ID とパスワードを入力して、［ログオン］をクリックします。

ネームスペースの内容が、［Access Manager］ウィンドウの右側にあるウィンドウに表示さ

れます。

ヒント

- ネームスペースをダブルクリックすると、［IBM Cognos ログオン］ダイアログボックスが

開き、ユーザー ID とパスワードのプロンプトが表示されます。ネームスペースを右クリッ

クしてから［ログオン］をクリックしても、［IBM Cognos ログオン］ダイアログボックス

を開くことができます。

関連トピック













OU IBM Cognos Series 7 Access Manager


その他のユーザーとしてネームスペースにログオンする

説明

Access Manager Administration を使用するとき、管理者としてネームスペースにログオンしなけ

ればならない場合があります。管理者にはネームスペースに対してすべてのアクセス権限があるため、通常はこれがネームスペースを変更する最も簡単な方法です。管理者のユーザー ID

は、ルートユーザークラスに属し、デフォルトではパスワードがありません。

ネームスペースには、そのネームスペースの任意のユーザーとしてログオンすることもできます。管理者以外のユーザーとしてログオンすると、そのユーザーのアクセス権のみが付与されます。これにより、ユーザーに適切なアクセス権が与えられていることを確認できます。

ネームスペースが基本サインオンを使用する場合は、［としてログイン］コマンドを使用して任意のユーザーとしてログオンできます。

ネームスペースが、オペレーティングシステム（OS）サインオン、または基本サインオンと

OS サインオンの両方を使用する場合は、ユーザーのネットワーク ID でネームスペースに自動

的にログオンできます。ネームスペースに別のユーザーとしてアクセスするには、［としてログイン］コマンドを使用し、基本サインオンを使ってログインします。ネームスペースで使用できるのが OS サインオンのみの場合、基本サインオンを使用してネームスペースにアクセス

できるのは、管理者またはルートユーザークラスのメンバーだけです。

既にネームスペースにログオンしている場合は、別のユーザーとしてログインする前にログオフする必要があります。

手順

1. ［認証情報］ウィンドウで、 “ディレクトリサーバー” フォルダをダブルクリックします。

2. アクセスするネームスペースを含むディレクトリサーバーを、ダブルクリックします。

3. ネームスペースを選択します。

4. ［アクション］メニューの［別 ID でログオン］をクリックします。

［IBM Cognos ログオン］ダイアログボックスが表示されます。

5. ［ユーザー ID］ダイアログボックスに、ログオンに使用するユーザー ID を入力します。

6. ［パスワード］ボックスに、対応するパスワードを入力します。


ネームスペースの内容が、［Access Manager Administration］ウィンドウの右側にあるウィ

ンドウに表示されます。

関連トピック













Access Manager 管理者ガイド =OV


ネームスペースの管理者を追加する

説明

デフォルトでは、各ネームスペースに “Administrator” という管理者用のユーザー ID が含まれ

ています。このユーザー ID にはパスワードがなく、ルートユーザークラスに属します。この

ユーザー ID を使用して、追加のネームスペース管理者や認証データを設定できます。

ネームスペースの管理者を正しく設定するには、管理者に基本サインオンを付与し、管理者をルートユーザークラスに含める必要があります。ルートユーザークラスによって、管理者に

はネームスペース対するすべてのアクセス権限が付与されます。

ユーザーサインオンの作成については、「ユーザーにサインオンを設定する」 (p. 49) を参照し

てください。

手順

1. ネームスペースにログオンします。

詳細については、「ネームスペースにログオンする」 (p. 28) を参照してください。

2. “ユーザー” フォルダをダブルクリックして内容を表示します。

3. ネームスペースの管理者として追加するユーザーを、［ルートユーザークラス］アイコン

にドラッグします。

関連トピック













ネームスペースの概要情報を入力する

説明

ネームスペースごとに詳細な情報を入力できます。これは、他の管理者にとって、または多数のネームスペースを管理している場合に便利です。この情報はオプションです。

Access Manager の将来のバージョンでは、キーワード検索に使用するキーワードを追加できる

ようになります。また、 OLE オートメーションのスクリプトでキーワードプロパティを使用

し、これらのキーワードにアクセスして使用することもできるようになります。

手順




ネームスペースプロパティのダイアログボックスが表示されます。

3. ［概要］タブをクリックします。

4. 必要な概要情報を入力します。

PM IBM Cognos Series 7 Access Manager



関連トピック













ネームスペースに匿名アクセスを設定する

説明

ユーザーにユーザー ID とパスワードの入力を要求しないようにするには、ネームスペースに

匿名アクセスを設定します。他のユーザーと同様、匿名ユーザーに対してもアクセス権を設定して、データソースへのアクセスを制限できます。

匿名ユーザーには、通常、最小限のアクセス権（パブリックフォルダへのアクセスなど）を

付与します。匿名ユーザーは、保護されたリソースの ID やパスワードを変更することはでき

ません。

匿名ユーザーには、次の事項が適用されます。

- 少なくとも 1 つのユーザークラスのメンバーである

- 自動アクセスを持つことができる

- パブリックユーザークラスに存在することができる

管理者は、他の IBM Cognos アプリケーションから管理者としてログインし、ネームスペース

にアクセスします。

ネームスペース内で匿名ユーザーを使用可能にすると、他の IBM Cognos 製品では、ユーザー

に対してユーザー ID やパスワードが要求されなくなります。

手順




3. ［設定］タブをクリックします。

4. ［認証］ボックスで、［匿名アクセスには、次のアカウントを使用］をクリックします。

5. 任意のユーザーアカウントの名前を指定します。


関連トピック

- 「ユーザーを追加する」 (p. 48)

- 「ユーザーをユーザークラスに割り当てる」 (p. 51)

- 「ユーザーのユーザークラスとアクセスを表示する」 (p. 53)

- 「ユーザーにサインオンを設定する」 (p. 49)

Access Manager 管理者ガイド =PN


- 「データソースまたはアプリケーションサーバーのアクセスを設定する」 (p. 52)

- 「ユーザーの自動アクセスを設定する」 (p. 52)

- 「ネームスペースにゲストアクセスを設定する」 (p. 32)

- 「ユーザーの設定：概要」 (p. 47)

ネームスペースにゲストアクセスを設定する

説明

ユーザーがログインするときに、ユーザー名を入力するかどうかを選択できるようにするには、ネームスペースにゲストアクセスを設定します。ゲストユーザーは、ユーザー ID とパス

ワードを入力する必要がありません。 “guest” としてログインします。ネームスペースにゲス

トユーザーを設定すると、名前付きのユーザーとゲストユーザーに異なるセキュリティレベ

ルを設定できます。

ゲストユーザーは、自分のユーザー基本設定を変更できません。ゲストユーザーには、次の

事項が適用されます。

- 少なくとも 1 つのユーザークラスのメンバーである



ゲストアクセスをサポートする IBM Cognos 製品では、ネームスペースでゲストユーザーを使

用可能にすると、ゲストとしてログインするオプションがユーザーに表示されます。

手順





4. ［認証］ボックスで、［ゲストアクセスには次のアカウントを使用］をクリックします。

5. 任意のユーザーアカウントの名前を指定します。


関連トピック







- 「ネームスペースに匿名アクセスを設定する」 (p. 31)


ネームスペースに含まれるユーザーのサインオンプロパティを設定する

説明

同じネームスペースに定義された全ユーザーに共通のサインオンプロパティを設定できます。

これらのプロパティによってセキュリティのレベルが向上します。

次のことを指定できます。

PO IBM Cognos Series 7 Access Manager


- 全ユーザーに許可するサインオンのタイプ。基本サインオンを選択すると、保護されたオブジェクトにユーザーがアクセスを試みるたびに、そのユーザーに対してユーザー ID と

パスワードを入力するように求めるプロンプトが表示されます。基本サインオンは、Access Manager によって管理されます。オペレーティングシステム（OS）サインオンを

選択すると、ユーザーは、オペレーティングシステムまたはネットワークのログオン情報

（ユーザー ID とパスワード）を使用してログオンできます。 OS サインオンのセキュリ

ティレベルは、オペレーティングシステムやネットワークと同じになります。また、こ

れら両方のサインオン方式を選択することもできます。つまり、 Access Manager が OS サ

インオンを認識できない場合、ユーザーに基本サインオンが要求されます。

- 各ユーザーの基本サインオンの最小文字数。たとえば、最小 4 文字に指定した場合は、各

ユーザー ID を 4 文字以上の長さにする必要があります。

- ユーザー ID の大文字と小文字を区別するかどうか。たとえば、このオプションを選択し

た場合、各ユーザーは、保護されたデータにログオンするために大文字と小文字を正しく区別する必要があります。大文字と小文字を正しく区別しないと、ユーザーは検索されず、認証されません。

- 保護されたデータにユーザーがログオンするときの最大試行回数。保護されたデータへのアクセスが拒否されているユーザーについて、再ログオンを試行できるようになるまでの時間も指定できます。

また、同じネームスペースに定義された全ユーザーに共通のパスワードプロパティを設定で

きます。

詳細については、「ネームスペースに含まれるユーザーのパスワードプロパティを設定す


手順





3. ［サインオン］タブをクリックし、すべてのユーザーに使用するサインオンプロパティを

設定します。


関連トピック













Web ユーザーのネームスペース OS サインオンに変数を使用する

REMOTE_USER や HTTP cookie に限らず、既存の環境変数を使用して、ユーザーサインオン

情報を取得できます。また、使用する変数または cookie に対して限定的な式の編集を適用する

こともできます。

Access Manager 管理者ガイド =PP


手順





3. ［サインオン］タブをクリックします。

4. ［外部 ID マッピング］ボックスに、 Web サインオン変数を入力します。

次のいずれかの書式を使用できます。

- ${environment("＜変数名＞ ")}

ネームスペース OS サインオンデータベースにマッピングするために、環境変数のす

べての内容が使用されます。変数の内容は一切処理されません。

- ${cookie("＜ Cookie 名＞ ")}

ネームスペース OS サインオンデータベースにマッピングするために、 Cookie のすべ

ての内容が使用されます。 Cookie の内容は一切処理されません。

また、置換操作を使用して、変数または Cookie によって返される値を編集することもで

きます。たとえば、次のように指定します。

- ${replace(${environment("＜変数名＞ ")},"＜値 1＞ ","＜値 2＞ ")}

変数の内容で、指定した値が置換されます。この例では、＜値 1＞が＜値 2＞で置換

され、置換後の最終的な文字列の結果がネームスペース OS サインオンデータベース

へのマッピングに使用されます。

- ${replace(${cookie("＜ Cookie 名＞ ")},"＜値 1＞ ","＜値 2＞ ")}

Cookie の内容で、指定した値が置換されます。この例では、＜値 1＞が＜値 2＞で置

換され、置換後の最終的な文字列の結果がネームスペース OS サインオンデータベー

スへのマッピングに使用されます。

たとえば、次のように入力するとします。

${replace(${environment("REMOTE_USER")}, "NetID1\\", "NetID1-")}

この場合、環境変数 REMOTE_USER の値が “NetID1\User1” だとすると、ネームス

ペース OS サインオンデータベースに渡される結果は “NetID1-User1” になります。

また、次のように入力するとします。

${replace(${environment("REMOTE_USER")}, "NetID1\\", "")

この場合、環境変数 REMOTE_USER の値が “NetID1\User2” だとすると、使用され

る結果は “User2” になります。

ヒント： $、 {、 }、 (、 )、 <、 >、 \、単一引用符、二重引用符などの特殊文字をエス

ケープするには、 \ 文字を使用します。

ネームスペースに含まれるユーザーのパスワードプロパティを設定する

説明

同じネームスペースに定義されたパスワードすべてについて、最小文字数、有効期限のオプション、パスワードの大文字と小文字を区別するかどうかを指定できます。これらのプロパティによってセキュリティのレベルが向上します。

IT 環境で厳しさを増すセキュリティ要件を満たすために、追加のパスワード規則を適用でき

ます。たとえば、大文字と小文字の区別などの複雑な要件を適用でき、古いパスワードが再使

用されないようにすることもできます。

また、同じネームスペースに定義された全ユーザーに対し、共通のサインオンプロパティを

設定できます。

詳細については、「ネームスペースに含まれるユーザーのサインオンプロパティを設定す


PQ IBM Cognos Series 7 Access Manager


手順

1. ネームスペースにログオンします (p. 28)。


3. ［パスワード］タブをクリックし、必要なパスワードプロパティを設定します。


関連トピック













ネームスペースに含まれるユーザーの地域設定を定義する

説明

同じネームスペースに定義された全ユーザーに地域的設定を指定できます。

次のことを指定できます。

- ネームスペースのタイムゾーン

- ネームスペースに夏時間を適用するかどうか

- ネームスペースに使用する時間の書式

- ネームスペースの言語

- ネームスペースの地理的位置

手順




3. ［地域の設定］タブをクリックし、ネームスペースのプロパティを設定します。


関連トピック









Access Manager 管理者ガイド =PR






ディレクトリサーバーにデフォルトのネームスペースを設定する

説明

ユーザーがデータソースまたはアプリケーションサーバーにアクセスするには、実行時に使

用される認証ソースを、 IBM Cognos 製品が識別できるように設定する必要があります。ユー

ザーは通常、 Configuration Manager を使用して IBM Cognos 製品で認証ソースを設定します。

デフォルトのネームスペースを設定するには、まずそのネームスペースが含まれているディレクトリサーバーにログオンし、認証される必要があります。

Configuration Manager でデフォルトのネームスペースを自動的に使用できるようにするには、

ネームスペースが含まれているディレクトリサーバーもデフォルトとして設定する必要があ

ります。

Configuration Manager の使用方法の詳細については、「認証ソースの設定」 (p. 12) を参照してく

ださい。

ネームスペースおよび認証データの詳細については、「認証ソースの設定」 (p. 21)および

「ネームスペースの設定：概要」 (p. 26) を参照してください。

手順

1. ［認証情報］ウィンドウで、 “ディレクトリサーバー” フォルダをダブルクリックします。

2. デフォルトに設定するディレクトリサーバーをクリックします。

3. ［アクション］メニューの［デフォルトに設定］をクリックします。

選択したディレクトリサーバーが太字で表示され、デフォルトとして設定されたことを示

します。

4. ディレクトリサーバーをダブルクリックします。

5. デフォルトに設定するネームスペースを選択します。

6. ネームスペースへログオンします。

7. ［アクション］メニューの［デフォルトに設定］をクリックします。

8. ［アドミニストレータアクセス］ダイアログボックスに、管理者の識別名とパスワードを

入力します。


選択したネームスペースが太字で表示され、デフォルトとして設定されたことを示します。

関連トピック











PS IBM Cognos Series 7 Access Manager




リモートユーザーのためにネームスペースをエクスポートする

説明

リモートユーザーのために認証ソースを作成する必要がある場合は、ディレクトリサーバー

のネームスペースのデータをローカル認証エクスポートファイル（.lae）にエクスポートしま

す。 .lae ファイルの既存データは、ソースのネームスペースのデータで上書きするか、ソース

のネームスペースのデータとマージできます。

ネームスペースのマージの規則については、「ディレクトリサーバー間でネームスペース情報

を転送する」 (p. 38) を参照してください。

ディレクトリサーバーネームスペースの外部ユーザーサポートが使用可能 (p. 41)で、ネーム

スペースを LAE ファイルにエクスポートする場合は、ユーザーをエクスポートに含めるかど

うかを指定する必要があります。

ネームスペースから .lae ファイルへのエクスポートが終了したら、ファイルをリモートユー

ザーへ送ることができます。

ネームスペースの使用中にネームスペースのデータを編集しないようにするには、ネームスペースを .lae ファイルにエクスポートして必要な変更を行います。その後、変更した .lae ファ

イルのネームスペースをディレクトリサーバーの元のネームスペースにインポートします。



注

ネームスペースをマージする場合は、元データまたはターゲットのいずれかのネームスペースで構築したキューブを再構築しなければならないことがあります。

手順


2. ［アクション］メニューの［LAE ファイルにエクスポート］をクリックします。

3. ［LAE ファイルにエクスポート］ダイアログボックスで、ネームスペースのエクスポート

先のローカル認証エクスポートファイルを選択します。

一覧にファイルが表示されない場合は、［追加］をクリックし、次の手順を実行します。表示された場合は、手順 5 に進みます。

- ［名前］ボックスに、新しい LAE ファイルの名前を入力します。

- ［ファイルパス］ボックスに、ファイルの名前とパスを入力します。または、［参照］

をクリックして既存ファイルを探します。

- ［OK］をクリックします。

4. ［オプション］ボックスで、次のいずれかを実行します。

- 認証データをエクスポートする前にネームスペースのデータを削除するには、［ターゲットネームスペースを空にする］をクリックします。

- ネームスペースのデータを既存データに追加するには、［ネームスペースのマージ］をクリックします。

5. ネームスペースの外部ユーザーサポートが使用可能な場合は、ユーザーをエクスポートに

含めるかどうかを指定します。

ユーザーを含めるには、［ユーザーをエクスポート］チェックボックスをオンにします。

ユーザーを除外するには、［ユーザーをエクスポート］チェックボックスをオフにします。

6. ［ログファイル］ボックスでログファイルの場所を指定します。

7. ［エクスポート］をクリックします。

Access Manager 管理者ガイド =PT


これで、このファイルをリモートユーザーに送ることができます。

関連トピック













ディレクトリサーバー間でネームスペース情報を転送する

説明

ディレクトリサーバー間でネームスペース情報を転送するには、次の操作を実行します。

- 両方のディレクトリサーバーに適正な接続を設定する

- 空のローカル認証エクスポートファイル（.lae）を作成する

- 元のディレクトリサーバーに含まれるネームスペースを、ローカル認証エクスポート

ファイル（.lae）にエクスポートする

- ターゲットディレクトリサーバーのネームスペースに .lae ファイルをインポートする

あるネームスペースを他のネームスペースにマージする場合、オブジェクトの優先順位とそのプロパティ設定は、優先するネームスペースによって異なります。たとえば、元データのネームスペースに A、 B、 C、ターゲットネームスペースに C、 D、 E があり、ターゲットネーム

スペースを優先するとします。元データのネームスペースをターゲットネームスペースに

マージすると、結果のネームスペースに次の項目が含まれます。

- A （元データのネームスペースから）

- B （元データのネームスペースから）

- C （ターゲットのネームスペースから）

- D （ターゲットのネームスペースから）

- E （ターゲットのネームスペースから）

注

- 1 つの .lae ファイルに複数のネームスペースを含めるには、複数のネームスペースをエク

スポートし、［LAE ファイルにエクスポート］ダイアログボックスでネームスペースの

マージを選択します。

- ネームスペースをマージする場合は、元データまたはターゲットのいずれかのネームスペースで構築したキューブを再構築しなければならないことがあります。

手順

1. ［認証情報］ウィンドウで、［ローカル認証エクスポートファイル］をクリックします。

2. ［アクション］メニューの［LAE ファイルの追加］をクリックします。

LAE ファイルプロパティのダイアログボックスが表示されます。

3. ［名前］ボックスに、ローカル認証エクスポートファイルの名前を入力します。

PU IBM Cognos Series 7 Access Manager


4. ［ファイルパス］ボックスにファイルのパスを入力するか、［参照］をクリックしてファイ

ルを保存する場所を指定します。


6. 元のディレクトリサーバーに含まれるネームスペースを、空の .lae ファイルにエクスポー

トします。

詳細については、「リモートユーザーのためにネームスペースをエクスポートする」 (p. 37)


7. ターゲットディレクトリサーバーに .lae ファイルをインポートします。



関連トピック













旧式ネームスペースを識別する

説明

ディレクトリサーバーのネームスペースをローカル認証エクスポートファイル（.lae）にエク

スポートした場合、または .lae ファイルをディレクトリサーバーのネームスペースにインポー

トした場合、エクスポートしたネームスペースは元データにリンクされます。どちらのネームスペースでも作成日時と変更日時が保存されます。

［旧式ネームスペースの識別］コマンドは、エクスポートされたネームスペースすべての作成日時をソースの変更日時と比較し、情報が古くなったネームスペースを識別します。また、一方の認証ソースから削除され、もう一方の認証ソースから削除されていないネームスペースも識別します。

ディレクトリサーバーのネームスペースまたは .lae ファイルに対して、［ネームスペースの更

新状況］コマンドを使用することもできます。このコマンドでは、選択したネームスペースの作成時刻が、元データネームスペースの変更時刻と同じかどうかが確認されます。日時が異

なる場合、ネームスペースの情報は古くなっています。

ネームスペースが旧式になった場合は、ソースのネームスペースを再度エクスポートして更新できます。

ネームスペースのエクスポートについては、「リモートユーザーのためにネームスペースをエ

クスポートする」 (p. 37) を参照してください。

注：バージョン 17.0 のネームスペースでは、外部ユーザー情報が検証されません。

旧式ネームスペースを識別する手順

- ［ツール］メニューから［旧式ネームスペースの識別］を選択します。

Access Manager 管理者ガイド =PV


ダイアログボックスが開き、元データのネームスペースの変更日時よりも作成日時が古い

.lae ファイルのネームスペース一覧が表示されます。

最新のネームスペースを確認する手順

1. ローカル認証エクスポートファイル（.lae）のネームスペースにログオンします。


2. ［アクション］メニューの［ネームスペースの更新状況］をクリックします。

関連トピック

- 「ローカル認証エクスポートファイルを追加する」 (p. 44)

- 「ローカル認証エクスポートファイルをネームスペースにインポートする」 (p. 45)

- 「ローカル認証エクスポートファイル：概要」 (p. 44)

ネームスペースをアップグレードする

説明

ネームスペースの構造とプロパティは、ネームスペース作成に使用した LDAP ディレクトリ

サーバーのスキーマバージョンによって決まります。既存のネームスペースには、現在使用

しているスキーマバージョンより古いスキーマバージョンで作成されたものが残っているこ

とがあります。

ネームスペーススキーマを現在のバージョンにアップグレードできます。現在のスキーマ

バージョンで提供される追加機能によって、大規模なユーザーおよびユーザークラスを実装

している場合のパフォーマンスが向上し、 Access Manager を通じてディレクトリサーバーで

UTF-8 （UNICODE）形式の拡張文字または非 ASCII 文字をサポートできるようになります。

これにより、特定の言語に依存しない、すべてのユーザーが同様にアクセスできるアプリケーションを構築できます。

現在のスキーマバージョンにアップグレードする際は、次の点に注意してください。

- 必要に応じてディレクトリサーバーのスキーマをアップグレードする

ディレクトリサーバーのアップグレードについては、インストールマニュアルの「IBM

Cognos 製品用にディレクトリサーバーを構成する」を参照してください。

- ネームスペースをアップグレードする必要がある

ネームスペースのバージョンを確認するには、 Access Manager - Administration でネームス

ペースプロパティの［全般］タブを開きます。スキーマバージョンが 15.2 よりも古い場

合は、すべてのネームスペースを現在のバージョンにアップグレードする前に、それぞれのネームスペースをバージョン 15.2 にアップグレードする必要があります。

Series 7.0 以前のバージョンの IBM Cognos 製品、およびバージョン 15.2 のネームスペースを使

用する Series 7.1 と、ネームスペースとの互換性を維持するには、［Series 7.0 以前のバージョン

互換］スキーマバージョンを使用する必要があります。詳細については、インストールガイ

ドを参照してください。

設定時に、［Series 7.0 以前のバージョン互換］スキーマバージョンを引き続き使用するか、現

在のバージョンにアップグレードするかを選択できます。設定時にネームスペースのスキーマ

をアップグレードする場合は、 Access Manager Administration ツールを使用して、ネームスペー

スを最新のバージョンにアップグレードします。

注：ネームスペースを現在のスキーマバージョンにアップグレードすると、ネームスペース

は、 IBM Cognos Series 7.0 以前のバージョン、およびバージョン 15.2 以前のネームスペースを

使用する製品と互換性がなくなります。

ネームスペースのスキーマをバージョン 15.2 にアップグレードする手順

1. アップグレードするネームスペースにログオンします。


2. ［アクション］メニューの［ネームスペースのアップグレード］をクリックします。

QM IBM Cognos Series 7 Access Manager


ネームスペースのアップグレード前に自動的にログアウトされる、という内容のメッセージが表示されます。


ログアウト後、ネームスペースがアップグレードされます。アップグレードしたネームスペースにアクセスするには、再度ログオンする必要があります。

すべてのネームスペースを現在のバージョンにアップグレードする手順

1. Access Manager - Administration を開きます。

2. ［認証情報］ウィンドウで、 “ディレクトリサーバー” または “ローカル認証エクスポート

ファイル” フォルダを展開します。

ディレクトリサーバーの接続の追加については、「ディレクトリサーバーに接続す

る」 (p. 22) を参照してください。ローカル認証エクスポートファイルの接続の追加につい

ては、「ローカル認証エクスポートファイルを追加する」 (p. 44) を参照してください。

3. 既存のネームスペースをアップグレードするディレクトリサーバーまたは LAE ファイル

を右クリックし、［全ネームスペースを現在のバージョンにアップグレード］をクリックします。

ネームスペースを現在のスキーマバージョンにアップグレードすると、ネームスペースが

IBM Cognos Series 7.0 以前の製品バージョンと互換性がなくなることを示す警告メッセー

ジが表示されます。

15.2 よりも古いスキーマバージョンを持つネームスペースが存在することを示す警告メッ

セージが表示された場合、ネームスペースを現在のスキーマバージョンにアップグレード

する前に、それぞれのネームスペースをバージョン 15.2 にアップグレードする必要があり

ます。


関連トピック













外部ユーザーサポートを使用可能にする

説明

外部ユーザーは、サポートされているセカンダリディレクトリサーバーで定義され、 Access

Manager ネームスペースにリンクされます。外部ユーザーをリンクする前に、外部ユーザーサ

ポートを使用可能にする必要があります (p. 55)。

IBM Cognos ネームスペースにアクセスするすべてのユーザーをディレクトリサーバーで定義

および管理する場合は、外部ユーザーサポートを使用可能にします。 1 つ以上のネームスペー

スに割り当てられたユーザーにディレクトリサーバーで変更を加えた場合、変更内容は自動

的に Access Manager に反映されます。

Access Manager 管理者ガイド =QN


外部ユーザーサポートを使用可能にする前に、ディレクトリサーバーのデータをバックアッ

プしてください。

外部ユーザーサポートを使用可能にした後、ディレクトリサーバーに新しいユーザーを追加

して Access Manager ネームスペースにリンクします。 Upfront でユーザーマネージャを使用し

て新しいユーザーを追加しようとすると、次のメッセージが表示されます。

外部ユーザーサポートが有効になっている場合、 AddUser 関数はサポートされません。管理者

に連絡してください。

Upfront からユーザー追加オプションを削除する方法については、『IBM Cognos Application

Firewall Secure Deployment Guide』を参照してください。

外部ユーザーサポートが使用可能なときにディレクトリサーバーから削除されたユーザーは、

Access Manager ネームスペースで自動的に使用不可になります。ただし、ディレクトリサー

バーで定義されなくなったユーザーへのリンクを削除する必要があります。

Configuration Manager を使用することにより、ディレクトリサーバーは外部ユーザーサポート

用に設定されます。詳細については、『Configuration Manager ユーザーガイド』を参照してくだ

さい。また、プライマリディレクトリサーバーが Microsoft Active Directory である場合は、外

部ユーザーサポートを Configuration Manager で構成し、 Access Manager Administration で有効

にする前に、 amADUpdate ユーティリティを実行する必要があります (p. 86)。

手順

1. Access Manager - Administration を起動します。

2. ［認証情報］ウィンドウで、 “ディレクトリサーバー” フォルダをダブルクリックして開き

ます。

3. 目的のネームスペースを含むディレクトリサーバーをクリックして、ネームスペースにロ

グオンします (p. 28)。

4. ネームスペースのバージョンが 15.2 の場合は、ディレクトリサーバーを右クリックして、

［全ネームスペースを現在のバージョンにアップグレード］をクリックします。

5. ディレクトリサーバーを右クリックし、［外部ユーザーサポートを有効化］をクリックし

ます。

6. ディレクトリサーバーデータのバックアップ作成が完了している場合は、［OK］をク

リックします。バックアップを作成していない場合は、［キャンセル］をクリックしてバッ

クアップを作成した後に、この手順を実行してください。

7. 実行時管理者識別名（DN）とパスワードを入力します。


ディレクトリサーバーのすべてのネームスペースがバージョン 17.0 にアップグレードさ

れ、外部ユーザー設定が恒久的に使用可能になります。

これで外部ユーザーをリンクできるようになります (p. 55)。

関連トピック

- 「外部ユーザーをリンクする」 (p. 55)

監査ログ記録を使用可能にする

説明

Access Manager では、セキュリティ管理の監査ログ記録をサポートしています。ネームスペー

スオブジェクトへの変更をログに記録できます。ユーザークラスの資格、データソース接続

へのアクセス、およびデータソースサインオンに加えられた変更はログに記録されます。

一度に設定できるネームスペースの監査ログ記録は 1 つだけです。

監査ログ記録でサポートされるのは、ディレクトリサーバーのネームスペースのみです。

LAE ネームスペースは監査できません。

QO IBM Cognos Series 7 Access Manager


監査ログ記録を使用可能にした場合は、ネームスペースの変更を記録する方法と場所を指定します。

監査ログ記録を使用可能にする前に、次のことを行う必要があります。

- 監査ログ記録 API 機能を実装する

- Access Manager - Registration ウィザードを使用して監査ログ記録 API を登録する

詳細については、 Access Manager の『信用サービスプラグイン SDK ガイド』を参照してくだ

さい。

手順

1. Access Manager - Administration を起動します。

2. 監査するネームスペースが格納されているディレクトリサーバーに接続します。

3. ネームスペースにログオン (p. 28) し、ネームスペースを右クリックします。

4. ［プロパティ］をクリックして、［監査ログの記録］タブをクリックします。

5. ［アドミニストレータアクセス］ダイアログボックスに管理者の識別名とパスワードを入

力して、［ログオン］をクリックします。

注：［監査ログの記録］タブがアクティブであることを確認します。このタブがアクティブでない場合は、信用サービスプラグインが登録されていないか、監査ログ記録サービス

がプラグインに含まれていません。

6. ［ログ記録オプション］ボックスで、［使用可能］をクリックします。

7. ［失敗時の動作］ボックスで、障害の発生時に行う処理を指定します。

- ネームスペースの変更を保存するには、［継続］を選択します。

- ネームスペースの変更を破棄するには、［停止］を選択します。

この設定により、障害の発生時に、監査可能なネームスペースの変更が保存されます。

8. ［カスタム設定］ボックスで、監査ログ記録 API ライブラリに必要なカスタム設定情報を

入力します。

たとえば、 Access Manager に付属する監査ログ記録 API サンプルの場合は、アスタリスク

（*）を入力します。

デフォルトでは、 Access Manager Administration の監査ログは “＜インストール場所＞

\bin” ディレクトリに保存されます。 Web ログオンの監査ログは “＜インストール場所＞

\cgi-bin” ディレクトリに保存されます。


10. 監査ログ記録をテストするには、ネームスペースのユーザークラスを変更した後に、以前

指定したログ記録のソースに変更が記録されているかどうかを確認します。

注：サンプル監査ログ記録プラグインをテストする場合は、テストを行う前にネームスペースからログオフします。

関連トピック

- 「Ticket サービスアクティビティの監査」 (p. 76)

代替の認証ソース：概要Access Manager では、認証データの主要なソースとして、 LDAPディレクトリサーバーのネー

ムスペースを使用します。ローカル認証エクスポートファイル（.lae）を使用すると、ディレ

クトリサーバーと同じネットワークに接続していないシングルユーザーも、リモートで認証

データにアクセスできます。

関連トピック



Access Manager 管理者ガイド =QP


ローカル認証エクスポートファイル：概要

PowerPlay キューブなどのユーザークラスで保護されたデータを、シングルユーザーがリモー

トで開く場合、ローカル認証エクスポートファイル（.lae）によって、そのユーザー用のポー

タブルな認証ソースが提供されます。 .lae ファイルは、認証データを配布および管理するため

に使用します。次のことができます。

- ディレクトリサーバーのネームスペースを .lae ファイルにエクスポートする

- ディレクトリサーバーのネームスペースに .lae ファイルをインポートする

ディレクトリサーバーと同様、 .lae ファイルにも認証データを保存するネームスペースがあり

ます。ディレクトリサーバーのネームスペースと、 .lae ファイルのネームスペースを使用する

ときは、ユーザーとユーザークラスの作成や、サーバーとデータソースの接続情報の追加に

必要な作業は同じです。

.lae ファイルは、単独のコンピュータ上でローカルに使用できます。ネットワーク上や複数の

ユーザーによる使用はできません。

.lae ファイルは、 Windows または UNIX を実行しているコンピュータで使用できます。

ネームスペースのプロパティの編集については、「ネームスペースの設定：概要」 (p. 26) を参

照してください。ネームスペースの認証データの編集については、「認証データの設定」 (p. 47)

を参照してください。 UNIX が動作しているコンピュータでの .lae ファイルの使用については、

『Configuration Manager ユーザーガイド』を参照してください。

注： .lae ファイルは、マルチユーザーサーバー実装の認証ソースとしてサポートされていませ

ん。

関連トピック



- 「旧式ネームスペースを識別する」 (p. 39)

- 「ローカル認証エクスポートファイルをネームスペースにインポートする」 (p. 45)


ローカル認証エクスポートファイルを追加する

説明

空のローカル認証エクスポートファイル（.lae）を作成して認証データのネームスペースを作

成したり、ディレクトリサーバーのネームスペースをエクスポートするときに .lae ファイルを

作成できます。

ディレクトリサーバーのネームスペースから .lae ファイルを作成する詳細については、「リ

モートユーザーのためにネームスペースをエクスポートする」 (p. 37) を参照してください。

.lae ファイルのネームスペースは、 .lae ファイルの作成方法にかかわらず、ディレクトリサー

バーのネームスペースと同様に作成、ログオン、管理できます。

詳細については、「ネームスペースの設定：概要」 (p. 26) を参照してください。 .lae ファイルの

ネームスペースへ認証データを追加する詳細については、「認証データの設定」 (p. 47) を参照


手順

1. ［認証情報］ウィンドウで、［ローカル認証エクスポートファイル］をクリックします。

2. ［アクション］メニューの［LAE ファイルの追加］をクリックします。

3. ［名前］ボックスに、ファイル名を入力します。

4. ［ファイルパス］ボックスで、次のいずれかの操作を行います。

- 新しいファイルのパスと名前を入力します。

QQ IBM Cognos Series 7 Access Manager


- 新しいファイルを作成して保存するフォルダの場所を探すには、［参照］をクリックします。［開く］ダイアログボックスが表示されます。［ファイル名］ボックスで、新

しいファイル名を入力する必要があります。［開く］をクリックしてファイルを作成

し、［プロパティ］ダイアログボックスに戻ります。


指定した場所に新しいファイルが作成され、 “Local Authentication Export Files” フォルダに

追加されます。

ヒント

- 既存の .lae ファイルを Access Manager に追加するには、［プロパティ］ダイアログボック

スでファイルを指定します。

関連トピック

- 旧式ネームスペースを識別する

- ローカル認証エクスポートファイルをネームスペースにインポートする

- ローカル認証エクスポートファイル：概要

ローカル認証エクスポートファイルをネームスペースにインポートする

説明

ディレクトリサーバーに含まれるネームスペースの認証データを更新するためにローカル認

証エクスポートファイル（.lae）を使用する場合、ディレクトリサーバーのネームスペースに

ある既存データは、 .lae ファイルのデータと置き換えるか、 .lae ファイルのデータとマージす

ることができます。

ネームスペースのマージの規則については、「ディレクトリサーバー間でネームスペース情報


外部ユーザーサポートを使用可能にした場合 (p. 41)、ユーザーをインポートに含めるかどう

かを指定する必要があります。たとえば、 .lae ファイルでネームスペースに手作業で追加した

ユーザーを外部ユーザーサポートが使用可能なディレクトリサーバーネームスペースにイン

ポートすることがあります。ユーザーがインポートに含まれない場合、ユーザーはインポートされません。

ユーザーをインポートした後、ユーザーを再リンクする必要がある場合があります。どのユー

ザーを再リンクする必要があるかを判断するには、「AM_NamespaceReport ユーティリ

ティ」 (p. 83) を実行します。

ディレクトリサーバーのネームスペースで監査ログ記録が有効になっている場合は、ネーム

スペースの変更がログに記録されます。ローカル認証エクスポートファイルから空のネームス

ペースにインポートしても、監査ログのエントリは生成されません。

手順


2. ［アクション］メニューから［LAE ファイルからインポート］をクリックします。

3. ［LAE ファイルからインポート］ダイアログボックスで、必要なファイルを選択します。

一覧にファイルが表示されない場合は、［追加］をクリックし、次の手順を実行します。表示された場合は、手順 5 に進みます。

- ［名前］ボックスに、新しい LAE ファイルの名前を入力します。

- ［ファイルパス］ボックスに、ファイルの名前とパスを入力します。または、［参照］

をクリックして既存ファイルを探します。

- ［OK］をクリックします。［ファイルのネームスペース］ボックスに、ファイルに含

まれているネームスペースが表示されます。

4. インポートするネームスペースを選択します。

5. ［オプション］ボックスで、次のいずれかを実行します。

Access Manager 管理者ガイド =QR


- 認証データをエクスポートする前にターゲットのネームスペースのデータを削除するには、［ターゲットネームスペースを空にする］をクリックします。

- ネームスペースのデータを既存データに追加するには、［ネームスペースのマージ］をクリックします。

6. 外部ユーザーサポートが使用可能な場合は、ユーザーをインポートに含めるかどうかを指

定します。

ユーザーを含めるには、［ユーザーをインポート］チェックボックスをオンにします。

ユーザーを除外するには、［ユーザーをインポート］チェックボックスをオフにします。

7. ［ログファイル］ボックスでログファイルの場所を指定します。

8. ［インポート］をクリックします。

関連トピック


- 「旧式ネームスペースを識別する」 (p. 39)


QS IBM Cognos Series 7 Access Manager

第 3 章 : 認証データの設定

認証データは、ディレクトリサーバーのネームスペースやローカル認証エクスポートファイ

ル（.lae）のネームスペースなどの認証ソースに保存されるセキュリティ情報です。認証デー

タは、 Access Manager Administration で定義して管理します。ユーザーは、認証データを使用し

てキューブやレポートなどのユーザークラスで保護されたデータにアクセスできます。

認証データの設定では、次の操作を行います。

- ユーザークラスを作成して、ユーザーに割り当てる。

- ユーザーがアクセスするデータソースとアプリケーションサーバーを定義する。

- 必要なデータソースとアプリケーションサーバーへのアクセス権をユーザーに付与する。

自動アクセス

ユーザーのアクセス権を設定するときには、自動アクセスも設定できます。自動アクセスでは、ユーザーがユーザー ID やパスワードを何回も入力することなく、保護されたキューブ、

データベース、またはサーバーにアクセスできます。ユーザーがデータベースやサーバーにある複数のデータソースにアクセスし、ログオン情報を何回も入力しなければならない場合は、

ユーザーの自動アクセスを設定すると便利です。

自動アクセスの詳細については、次のトピックを参照してください。

- 「データベースの自動アクセスを設定する」 (p. 63)

- 「Transformer サーバーの自動アクセスを設定する」 (p. 66)


関連トピック

- 「データソースの設定：概要」 (p. 61)

- 「サーバーの設定：概要」 (p. 65)

- 「ユーザークラスの設定：概要」 (p. 56)


- 「認証データを検索する」 (p. 67)

- 「認証データをソートする」 (p. 68)

ユーザーの設定：概要ユーザーは、保護されたデータを使用する企業内の個人を表すオブジェクトです。

ユーザーを設定するには、次の操作を行います。

- ユーザーの追加

- 各ユーザーの基本サインオン、 OS サインオン、またはその両方の定義

- ユーザークラスへのユーザーの割り当て

- データソースとサーバーへのアクセスの割り当て

- データソースとサーバーへの自動アクセスの割り当て

- ユーザーの地域設定の定義

- Upfront へのユーザーアクセスの決定

ユーザークラスおよびユーザーを設定したら、ユーザーを任意の数のユーザークラスに割り

当てることができます。

QT Licensed Materials - Property of IBM



ユーザークラスの設定については、「ユーザークラスの設定：概要」 (p. 56) を参照してくださ

い。

複数のユーザークラスに割り当てられたユーザー

複数のユーザークラスに属しているユーザーには、属しているすべてのユーザークラスの権

限がログオン時に付与されます。これをユーザークラスの結合と呼びます。

たとえば、ユーザーがユーザークラス 1 とユーザークラス 2 に属している場合、 Upfront また

は PowerPlay ではユーザークラスの指定は要求されず、ユーザークラス 1 とユーザークラス

2 を合わせた権限が付与されます。

注

OS サインオンは、オペレーティングシステムのセキュリティに依存します。基本サインオン

は、 Access Manager によって制御されます。

関連トピック










- 「ユーザークラスを追加する」 (p. 57)

- 「Web 製品のユーザーに地域の設定を定義する」 (p. 54)

- 「Upfront へのユーザーアクセスを定義する」 (p. 54)

- 「ユーザークラスに属するユーザーを表示する」 (p. 60)

- 「パブリックユーザークラスを設定する」 (p. 57)


- 「ユーザークラスのアクセス時間を設定する」 (p. 58)


ユーザーを追加する

説明

保護されたデータにアクセスしなければならない個人には、 Access Manager Administration で 1

人ずつユーザーを作成し、 1 つ以上のユーザークラスに割り当ててサインオンを指定する必要

があります。保護されたデータへのアクセスは、クライアントアプリケーションで、各ユー

ザーに対して定義されます。認証されたアプリケーションまたはデータソースを開くには、

ユーザーが少なくとも 1 つのユーザークラスに属している必要があります。

ユーザーをユーザークラスに割り当てる詳細については、「ユーザーをユーザークラスに割り

当てる」 (p. 51) を参照してください。

ユーザー名は、 Access Manager で個人を識別するためだけに使用されます。他のアプリケー

ションでユーザーの認証に使用する名前は、基本サインオンまたは OS サインオンに依存しま

す。

手順


QU IBM Cognos Series 7 Access Manager



2. 内容を表示するネームスペースをダブルクリックします。

3. “ユーザー” フォルダを選択します。

4. ［アクション］メニューの［ユーザーの追加］をクリックします。

5. ［名前］ボックスに、名前を入力します。

この名前は、 Access Manager Administration のみに表示されます。

6. 必要に応じて、［説明］ボックスにユーザーの説明を入力します。

7. 別のタブをクリックして、ユーザーのその他のプロパティを設定します。


ヒント

- ユーザーを削除するには、ユーザーを選択し、［アクション］メニューの［削除］をクリックします。

ネームスペースにログオンしている場合、自分自身を削除することはできません。

- フォルダを追加してユーザーを整理するには、 “ユーザー” フォルダを選択して［アクション］メニューの［フォルダの追加］をクリックし、［名前］ボックスにフォルダ名を入力します。必要に応じて、［説明］ボックスにフォルダの説明を入力します。これで、こ

のフォルダにユーザーをドラッグできます。

- ユーザーアカウントを使用不可にするには、［ユーザープロパティ］プロパティシートの

［全般］タブにある［ユーザーアカウント無効］チェックボックスをオンにします。この

操作により、ユーザーはどのような認証方法を使用してもログオンできなくなります。

関連トピック









ユーザーにサインオンを設定する

説明

ユーザーに設定できるサインオンには、次の 2 つのタイプがあります。

- 基本サインオン

- オペレーティングシステム（OS）サインオン

基本サインオンは、ユーザー ID とパスワードから構成され、どちらも Access Manager

Administration で定義して管理します。基本サインオンのユーザーは、保護されたデータにア

クセスする場合、認証時に正しいユーザー ID とパスワードを入力する必要があります。

OS サインオンは、 Access Manager でユーザーのネットワーク ID を認識して認証する場合に設

定します。 OS サインオンは、オペレーティングシステムのセキュリティを使用し、ユーザー

がその他のパスワードを入力しなくても、保護されたデータへアクセスできます。

ユーザーに基本サインオンと OS サインオンの両方がある場合、 Access Manager で使用される

サインオンはネームスペースの設定によって決定されます。詳細については、「ネームスペー

スに含まれるユーザーのサインオンプロパティを設定する」 (p. 32) を参照してください。

基本サインオンを設定する手順


Access Manager 管理者ガイド =QV




3. “ユーザー” フォルダをダブルクリックして開きます。

4. ユーザーを選択します。


6. ［ユーザーサインオン］タブをクリックします。

7. ［基本サインオン］チェックボックスをオンにします。

8. ［ユーザー ID］ボックスに、名前を入力します。

ユーザーは、認証時にこのユーザー ID を入力します。

9. ［パスワード］ボックスに、パスワードを入力します。

10. ［パスワードの確認］ボックスで、もう一度パスワードを入力します。


ヒント

- ユーザーのパスワードを変更するには、［パスワード］および［パスワードの確認］ボックスに新しいパスワードを入力します。

- さらに強化されたパスワード管理のオプションも使用できます。次回ログオン時にユーザーによるパスワード変更を必須にしたり、ユーザーによるパスワード変更を許可するかどうかを指定したり、ユーザーのパスワードを無期限にしたりすることができます。

OS サインオンを設定する手順







6. ［ユーザーサインオン］タブをクリックします。

7. ［OS サインオン］ボックスで、［追加］をクリックします。

ドメインとユーザー ID の情報を入力するダイアログボックスが表示されます。

8. サードパーティの認証ソースに必要な形式を使用して、サインオン情報を入力します。

- Windows 統合認証を使用した Windows および Web 認証の場合は「domain\userid」を使

用する

- UNIX 認証またはクライアント Windows 認証の場合は「userid」を使用する

詳細については、「外部サインオン」 (p. 15) を参照してください。


関連トピック











RM IBM Cognos Series 7 Access Manager


- 「Web ユーザーのネームスペース OS サインオンに変数を使用する」 (p. 33)

ユーザーをユーザークラスに割り当てる

説明

ユーザーをユーザークラスに割り当てると、そのユーザーにユーザークラスすべての権限が

付与されます。認証されたアプリケーションまたはデータソースを開くには、ユーザーが少

なくとも 1 つのユーザークラスに属している必要があります。

ユーザーが複数のユーザークラスに属する場合は、認証時に表示されるプロンプトでその

セッションに使用するユーザークラスを選択します。

複数のユーザークラスに割り当てられたユーザーについては、「ユーザーの設定：概

要」 (p. 47) を参照してください。

手順




3. “ユーザー” フォルダをダブルクリックしてユーザーを検索します。



6. ［資格］タブをクリックします。

ネームスペースに定義されているユーザークラスが、ルートユーザークラスを最上位と

する階層構造で表示されます。ユーザークラスを表示するには、各ユーザークラスの横

にあるプラス記号（+）をクリックします。

7. ユーザーが属するユーザークラスを選択します。

ユーザーが属する各ユーザークラスの横にあるボックスにチェックマークが表示されま

す。


ヒント

- ユーザークラスからユーザーを削除するには、各ユーザークラスの横にあるチェック

ボックスをオフにします。

- “ユーザー” フォルダからユーザーのアイコンをユーザークラスへドラッグすることに

よって、ユーザーをユーザークラスに割り当てることもできます。

関連トピック









Access Manager 管理者ガイド =RN


データソースまたはアプリケーションサーバーのアクセスを設定する

説明

データソースやアプリケーションサーバーへのアクセスを設定し、ユーザーがその元データ

に接続できるようにします。データソースには、データベースとキューブがあります。アプ

リケーションサーバーには、 PowerPlay または Transformer サーバーがあります。

ユーザーに、データベースや Transformer サーバーへの自動アクセスを設定することもできま

す。

詳細については、「ユーザーの自動アクセスを設定する」 (p. 52) を参照してください。

手順







6. ［アクセス］タブをクリックします。

7. ユーザーがアクセスできるデータソースまたはアプリケーションサーバーを選択します。


関連トピック









ユーザーの自動アクセスを設定する

説明

ユーザーの自動アクセスを設定すると、ユーザーがユーザー ID やパスワードを入力せずに、

保護されたキューブ、サーバー、データベースにアクセスできるようになります。ただし、ユーザーに自動アクセスを設定するには、サーバーまたはデータベースへのサインオンをあらかじめ追加しておく必要があります。

自動アクセスは、データベースまたは Transformer サーバーに対して設定できます。

データベースの自動アクセス設定の詳細については、「データベースの自動アクセスを設定する」 (p. 63) を参照してください。 Transformer サーバーの自動アクセス設定の詳細については、

「Transformer サーバーの自動アクセスを設定する」 (p. 66) を参照してください。

手順





4. 自動アクセス権を設定するユーザーを選択します。

RO IBM Cognos Series 7 Access Manager



6. ［アクセス］タブをクリックします。

7. データソースまたはサーバーを選択します。

8. ［サインオン］ボックスで、［設定］をクリックします。データソースには、サインオンが

設定されないものもあります。

9. ユーザーに適用するサインオンを選択します。


データソースまたはサーバーの横に自動アクセスサインオンが表示されます。


関連トピック









ユーザーのユーザークラスとアクセスを表示する

説明

ユーザーに割り当てられているユーザークラスとアクセスは、 Access Manager Administration

ウィンドウの右側ウィンドウに表示されます。各アイコンは、ユーザーが属するユーザーク

ラスへの参照や、ユーザーがアクセスできるデータソースまたはサーバーを表します。

ユーザーをユーザークラスに割り当てる詳細については、「ユーザーをユーザークラスに割り

当てる」 (p. 51) を参照してください。

手順






ユーザーに割り当てられているユーザークラスとアクセスが、 Access Manager

Administration ウィンドウの右側ウィンドウに表示されます。

ヒント

- 参照のプロパティを表示または編集するには、 Access Manager Administration ウィンドウの

右側ウィンドウで参照を選択し、［編集］メニューの［プロパティ］をクリックします。

関連トピック







Access Manager 管理者ガイド =RP




Web 製品のユーザーに地域の設定を定義する

説明

地域の設定では、 IBM Cognos Web 製品のユーザーに表示される時間、言語、およびロケール

の設定を決定します。ユーザーの地域設定を指定していない場合は、各ネームスペースに定義されている地域が使用されます。

手順





4. 目的のユーザーをクリックします。


6. ［地域の設定］タブをクリックします。

7. ［タイムゾーン］ボックスで、ユーザーのタイムゾーンを選択します。

8. 該当する場合は、［夏時間を適用］チェックボックスをオンにします。

9. ［時間書式］ボックスで、時間を表示する書式をクリックします。

10. ［言語］ボックスで、ユーザーが使用する言語をクリックします。

11. 数値や日付などを地域特有の書式で正しく表示するには、［ロケール］ボックスでユーザーの場所をクリックします。


関連トピック








Upfront へのユーザーアクセスを定義する

説明

Upfront ユーザーのアクセス権は、Access Manager Administration で定義します。Access Manager

でユーザーを追加するときに、ユーザーが Upfront にパーソナル NewsBox を所有するかどうか

を決定します。

手順





4. 目的のユーザーをクリックします。


RQ IBM Cognos Series 7 Access Manager


6. ［Upfront］タブをクリックします。

7. Upfront にパーソナル NewsBox を作成するには、［パーソナル NewsBox の作成］チェック

ボックスをオンにします。


関連トピック








外部ユーザーをリンクする

外部ユーザーサポートを有効にした場合は (p. 41)、ディレクトリサーバーで定義されている

ユーザーを Access Manager ネームスペースにリンクできます。ユーザーをリンクする場合は、

ユーザーを外部ユーザー識別名（DN）に関連付けます。

1 つ以上のネームスペースにリンクされたユーザーのユーザー属性を変更した場合、変更内容

は、関連付けられた各ネームスペースに自動的に反映されます。

ユーザーを Access Manager ネームスペースにリンクした後、そのユーザーにサインオンが設定

されていること、およびユーザーが 1 つ以上のユーザークラスのメンバーであることを確認

する必要があります。基本サインオン方式を使用する場合は、ネームスペースにリンクされて

いる各ユーザーの基本サインオンを追加する必要があります (p. 49)。

手順


2. “ユーザー” フォルダまたは任意の子フォルダを右クリックして、［ユーザーをリンク］をクリックします。

3. 外部ユーザーを参照する場合は、［参照］タブをクリックします。

ヒント：すべてのユーザーを選択または選択解除するには、最上位のノードの横にあるチェックボックスを使用します。フォルダ内のすべてのユーザーを選択または選択解除す

るには、フォルダの横のチェックボックスを使用します。

4. 外部ユーザーを検索する場合は、［検索］タブをクリックして目的のユーザーを選択します。

- ［ユーザー名または LDAP 検索フィルタ］ボックスに、ユーザー名または LDAP 検索

フィルタを入力します。

ユーザー名を入力すると、検索では、外部ユーザーのルートが開始 DN として使用さ

れ、サブツリーが検索の範囲になります。

ヒント：すべての外部ユーザーの一覧を表示するには、このフィールドを空白にします。

- ［ユーザー名または LDAP 検索フィルタ］フィールドに入力した内容に応じて、［検索

条件］ボックスで［ユーザー名］または［LDAP 検索フィルタ］を選択します。

- ［LDAP 検索フィルタ］を選択した場合は、［開始 DN］および［検索範囲］を指定しま

す。

［開始 DN］は、 LDAP ディレクトリ内で検索を開始する場所を指定します。［検索範

囲］は、ルート DN の特定の部分に検索を制限します。［Base］オプションを選択し

た場合は開始 DN だけが含まれ、［1 レベル］オプションでは開始 DN を除く開始 DN

より下位のエントリが含まれます。［サブツリー］オプションを選択した場合は、開始

DN を含む開始 DN 以下のエントリが含まれます。

Access Manager 管理者ガイド =RR


- ［検索］をクリックします。

外部ユーザーの一覧が［検索結果］ウィンドウに表示されます。

- リンクするユーザーを選択します。

ヒント：すべてのエントリを選択するには、［すべて選択］をクリックします。

5. ［ユーザーをリンク］をクリックします。

- ［検索結果］ボックスで複数のエントリを選択した場合は、選択したユーザーがネームスペースにリンクされます。

操作結果を示すメッセージと、リンクされたユーザーの数が表示されます。

- 1 つのエントリだけを選択した場合は、選択したユーザーの［プロパティ］ダイアロ

グボックスが表示されます。［OK］をクリックして、選択したユーザーをネームス

ペースにリンクします。

6. 別の外部 DN にユーザーをリンクする場合は、そのユーザーの［プロパティ］ダイアログ

ボックスの［全般］タブで、［再リンク］をクリックします。

ヒント：外部ユーザー DN を再リンクする必要がある場合は、外部ユーザー DN が赤で表

示されます。

関連トピック

- 「外部ユーザーサポートを使用可能にする」 (p. 41)

ユーザークラスの設定：概要

ユーザークラスとは、企業内で類似した役割を担うユーザーのカテゴリを表すオブジェクト

です。 Access Manager によってユーザーアクセスを制御する IBM Cognos 製品（PowerPlay、

Transformer など）では、各ユーザーに割り当てられているユーザークラスを使用して、情報

にアクセスできるユーザーを判別します。 1 つのユーザークラスの各メンバーは、同じアクセ

ス権を持っています。また、各ユーザーを複数のユーザークラスに割り当てることができま

す。

複数のユーザークラスに割り当てられたユーザーについては、「ユーザーの設定：概

要」 (p. 47) を参照してください。

ユーザークラスは、企業の構造に合わせて編成することを推奨します。また、ユーザーは複数

のユーザークラスに属することができるため、必要に応じて複数のユーザークラス構成を作

成することもできます。このような場合、ユーザーが “管理職” （職務別）と “国内事業所”（地域別）の両方のメンバーになることがあります。たとえば、職務別（副社長、常務取締役、

支社長など）や、地域別（全社、国内事業所、支社、工場など）にユーザークラスを設定で

きます。

関連トピック








- 「認証データの設定」 (p. 47)

RS IBM Cognos Series 7 Access Manager


ユーザークラスを追加する

説明

ユーザークラスを追加すると、クライアントアプリケーションの管理者がユーザークラスに

基づいてデータへのアクセスを制限したり、データソースへの自動アクセスを設定できるよ

うになります。作成した各ユーザークラスは、ルートユーザークラスに保存されます。

注

ユーザークラス名の最初の文字には、空白を使用できません。

手順




3. ［ルートユーザークラス］アイコンまたはその任意の子を選択します。

4. ［アクション］メニューの［ユーザークラスの追加］をクリックします。

5. ［名前］ボックスに、ユーザークラスの名前を入力します。

1 つのネームスペース内で、同じユーザークラス名を重複して使用することはできませ

ん。

6. 必要に応じて、［説明］ボックスにユーザークラスの説明を入力します。


ユーザークラスのアクセスと権限を設定する詳細については、「ユーザークラスのアクセス時

間を設定する」 (p. 58)および「ユーザークラスの権限を設定する」 (p. 59) を参照してください。

ヒント

- ユーザークラスを階層構造にするには、ユーザークラスを選択し、［アクション］メ

ニューの［ユーザークラスの追加］をクリックします。この操作により、ユーザークラ

スにユーザーのサブセットを作成できます。

- ユーザークラスを削除するには、ネームスペースを選択し、［アクション］メニューの

［削除］をクリックします。

関連トピック









パブリックユーザークラスを設定する

説明

パブリックユーザークラスは、ネームスペースの全ユーザーが自動的に属するユーザークラ

スです。パブリックユーザークラスがある場合、ネームスペースに追加した新しいユーザー

は自動的にパブリックユーザークラスに属します。既存のユーザーもパブリックユーザーク

ラスに属します。

Access Manager 管理者ガイド =RT


パブリックユーザークラスは、パブリックユーザークラスを認識する他の IBM Cognos 製品

で使用できます。パブリックユーザークラスに「パブリック」という名前を付ける必要はな

く、任意の名前を付けることができます。

他のユーザークラスに関連付けられたユーザーも、引き続きパブリックユーザークラスのメ

ンバーになります。パブリックユーザークラスには、他のユーザークラスと同じようにプロ

パティとアクセス権を割り当てることができます。

デフォルトでは、ネームスペースにパブリックユーザークラスは設定されていません。

手順





4. ［パブリックユーザークラス］ボックスで、［すべてのユーザーに次のクラスを使用］を

クリックします。

5. ユーザークラスの名前を指定します。


関連トピック








ユーザークラスのアクセス時間を設定する

説明

ユーザークラスのアクセス時間を設定すると、保護されたデータへのユーザーアクセスが特

定の日時に制限されます。つまり、ユーザークラスのメンバーが、そのユーザークラスに指

定された時間にのみアクセスを許可されるようになります。この制限は、ユーザークラスで

保護されたデータにアクセスするアプリケーションだけでなく、 Access Manager -

Administration へのアクセスにも適用されます。

時間制限はユーザーのコンピュータで確認され、ユーザーが最初にデータにアクセスするときに適用されます。時間制限の経過後もユーザーがデータへ引き続きアクセスしている場合、自動的にログオフされることはありません。

ユーザークラスのアクセス時間の長さは 1 日単位で、翌日にわたることはできません。たと

えば、開始時間を午後 8 ： 00 に、終了時間を午前 3 ： 00 には設定できません。

手順




3. ［ルートユーザークラス］アイコンをダブルクリックして、ユーザークラスの一覧を表示

します。

4. ユーザークラスを選択します。


6. ［全般］タブをクリックします。

RU IBM Cognos Series 7 Access Manager


7. ［アクセスする日および時間］ボックスで、選択したユーザークラスがアクセスできる日

時を選択します。

8. ［開始時刻］ボックスと［終了時刻］ボックスで、ユーザークラスがアクセスできる時間

を設定します。

時間は、ユーザーのコンピュータで確認されます。

時間を設定するには、［時］または［分］を選択し、値を入力するか、またはボックスの

横にある矢印を使用して値を変更します。午前または午後の表示を変更するには、［午前］または［午後］を選択し、ボックスの横にある矢印を使用します。


関連トピック








ユーザークラスの権限を設定する

説明

ユーザークラス権限は、そのユーザークラスのメンバーが Access Manager Administration を使

用して実行できる操作を指定します。ユーザークラスのメンバーは、ユーザー、ユーザーク

ラス、データソース、サーバーの表示、ユーザーやユーザークラスの作成と削除、データ

ソースやサーバーの追加などの操作を実行できます。

Access Manager で指定する権限は、ユーザークラスのメンバーがクライアントアプリケー

ションで使用できるアクセス権を決定するものではありません。これらの権限は、アプリケーションで定義します。たとえば、 Access Manager Administration による権限は、ユーザーがユー

ザークラスのメンバーとして、ユーザーやユーザークラスの表示、作成、削除、データソー

スやサーバー接続の表示、追加、削除などの操作を Access Manager Administration で実行でき

るかどうかを決定するものです。ユーザーが PowerPlay キューブを表示するときに、特定の

ディメンションを表示できるかどうかは指定しません。キューブを表示する権限は、キューブ作成時に Transformer で指定する必要があります。

Access Manager では、ユーザークラスに対して代理管理機能を設定すると、ユーザーの表示を

制限できます。代理管理者に対しては、管理しているユーザークラスに属するユーザーと

ユーザークラスの名前だけが表示されます。たとえば、 “イタリア”、 “フランス”、および

“ドイツ” という子ユーザークラスを持つ、 “欧州” ユーザークラスがあるとします。欧州の

各営業責任者に管理業務を委任した場合、 “欧州” ユーザークラスとその子ユーザークラスの

メンバーに対してのみアクセスできるように設定できます。これにより、欧州の各営業責任者は、 “欧州”、 “イタリア”、 “フランス”、 “ドイツ” ユーザークラスのユーザークラスとユー

ザーのみを管理できます。

クライアントアプリケーションで権限を設定する詳細については、そのアプリケーションの

オンラインヘルプを参照してください。

手順




3. ［ルートユーザークラス］アイコンをダブルクリックして、ユーザークラスを検索しま

す。

Access Manager 管理者ガイド =RV




6. ［使用権限］タブをクリックします。

ネームスペース全体のユーザークラスのメンバーに管理業務を委任するには、［メンバー

は全ユーザーやユーザークラスを表示可能］チェックボックスをオンにします。

任意のユーザークラスのみに属するメンバーおよびその子ユーザークラスのメンバーに

管理業務を委任するには、［メンバーは全ユーザーやユーザークラスを表示可能］チェッ

クボックスをオフにします。

7. 選択したユーザークラスに使用権限を設定します。


関連トピック








ユーザークラスに属するユーザーを表示する

説明

各ユーザークラスに属するユーザーは Access Manager の Access Manager Administration ウィン

ドウの右側ウィンドウに表示されます。各アイコンは、ユーザーへの参照を表します。

詳細については、「ユーザーをユーザークラスに割り当てる」 (p. 51) を参照してください。

手順




3. ［ルートユーザークラス］アイコンをダブルクリックして、ユーザークラスの一覧を表示

します。


各ユーザーが、 Access Manager Administration ウィンドウの右側ウィンドウにユーザー参照

として表示されます。

ヒント

- ユーザーが属するユーザークラスを表示するには、ユーザーを選択します。ユーザーク

ラスが Access Manager Administration ウィンドウの右側ウィンドウに表示されます。

- ユーザーのプロパティを表示または編集するには、 Access Manager Administration ウィンド

ウの右側ウィンドウでユーザーを選択し、［編集］メニューにある［プロパティ］をクリックします。

関連トピック





SM IBM Cognos Series 7 Access Manager





データソースの設定：概要

データソースは、データが保存されているネットワーク上の場所を表します。データソース

には、データベース、 PowerPlay キューブ、データベースに保存されているキューブがありま

す。 Access Manager は、各データソースの内容ではなく、データソースの接続情報のみを保

存します。

Access Manager では、ユーザーに対し、パスワードで保護されたデータベースへの自動アクセ

スを設定することもできます。自動アクセスサインオンでは、ユーザーがデータベースの

ユーザー ID やパスワードを入力せずに、データベースにアクセスできます。

関連トピック

- 「キューブを追加する」 (p. 64)

- 「データベースに保存されているキューブを追加する」 (p. 64)

- 「データベースを追加する」 (p. 61)

- 「OLAP サーバーデータベースを追加する」 (p. 62)



データベースを追加する

説明

ユーザーがデータベースにアクセスする前に、 Access Manager でデータベースを定義し、必要

なユーザーアクセス権をデータベースに設定しておく必要があります。データベースの定義

では、次の操作を行います。

- データベースを参照する

- 接続文字列を定義し、クライアントアプリケーションがデータベースに接続できるように

する

データベースには自動アクセスサインオンを作成できます。

詳細については、「データベースの自動アクセスを設定する」 (p. 63) を参照してください。

手順




3. “データソース” フォルダを選択し、［アクション］メニューの［データベースの追加］を


データベースプロパティのダイアログボックスが表示されます。

4. ［全般］タブの［名前］ボックスに、データベース名を入力します。

5. ［接続］タブをクリックします。

6. ［データベースタイプ］ドロップダウンボックスで、定義するデータベースのタイプを選

択します。

7. ［編集］をクリックして接続文字列を指定します。

［編集］ボタンは、この方法で編集できるデータベースにだけ表示されます。［編集］ボタ

ンが表示されない場合は、手順 9 に進みます。

Access Manager 管理者ガイド =SN


［データベース定義］ダイアログボックスが表示されます。

8. 必要な接続情報を入力し、［OK］をクリックします。

9. もう一度［OK］をクリックし、プロパティシートを閉じます。

ヒント

- フォルダを追加してデータベースを整理するには、 “データソース” フォルダを選択して

［アクション］メニューの［フォルダの追加］をクリックし、新しいフォルダにデータベースを追加または移動します。

- データベースを削除するには、データベースを選択し、［アクション］メニューの［削除］をクリックします。

関連トピック






OLAP サーバーデータベースを追加する

説明

Access Manager Administration を使用して、 OLAP サーバーデータベースへのアクセスを設定

できます。

サポートされている全データベースバージョンの一覧は、 PowerPlay Readme ヘルプを参照し

てください。

ユーザーがデータベースにアクセスする前に、 Access Manager でデータベースを定義し、必要

なユーザーアクセス権をデータベースに設定しておく必要があります。データベースの定義

では、次の操作を行います。

- データベースを参照する

- 接続文字列を定義し、クライアントアプリケーションがデータベースに接続できるように

する

詳細については、『OLAP Server 接続ガイド』を参照してください。

手順




3. “データソース” フォルダを選択し、［アクション］メニューの［データベースの追加］を


データベースプロパティのダイアログボックスが表示されます。

4. ［全般］タブの［名前］ボックスに、データベース名を入力します。

5. ［接続］タブをクリックします。

6. ［データベースタイプ］ボックスで、定義するデータベースのタイプを選択します。

7. ［編集］をクリックして、接続文字列を指定します。

［編集］ボタンは、データベースの定義を編集できる場合にのみ表示されます。［編集］ボ

タンが表示されない場合は、手順 9 に進みます。

8. ［データベースの定義］ダイアログボックスで、必要な接続情報を入力し、［OK］をク

リックします。

9. もう一度［OK］をクリックし、プロパティシートを閉じます。

SO IBM Cognos Series 7 Access Manager


関連トピック






データベースの自動アクセスを設定する

説明

直接アクセスするデータベース、またはキューブを保存するデータベースへの自動アクセスを設定するには、ユーザー ID とパスワードを使用してデータベースのサインオンを作成する必

要があります。サインオンを作成した後、任意のユーザーに適用してデータベースの自動アクセスを設定できます。

詳細については、「ユーザーの自動アクセスを設定する」 (p. 52) を参照してください。

手順




3. “データソース” フォルダをダブルクリックして開きます。

データベースが表示されない場合は、データベースを追加する必要があります。

データベースの追加については、「データベースを追加する」 (p. 61) を参照してください。

4. 自動アクセスサインオンを作成するデータベースをダブルクリックします。

5. “サインオン” フォルダを選択します。

6. ［アクション］メニューの［データベースサインオンの追加］をクリックします。

7. ［ユーザー ID］ボックスに、ユーザー ID を入力します。

これは、データベースにアクセスするために必要なユーザー ID です。

8. ［パスワード］ボックスと［パスワードの確認］ボックスに、データベースのパスワードを入力します。

注：信用サービスデータベースサインオンパスワードプラグインが登録されている場

合、［パスワード］ボックスと［パスワードの確認］ボックスは表示されません。

9. 必要に応じて、［説明］ボックスに説明を入力します。


ヒント

- データベースのパスワードが変更された場合、 Access Manager に保存されているパスワー

ドを変更するには、［パスワード］ボックスと［パスワードの確認］ボックスにパスワードを入力します。

- データベースの参照を削除するには、データベースを選択し、［アクション］メニューの［削除］をクリックします。

関連トピック






Access Manager 管理者ガイド =SP


キューブを追加する

説明

ネームスペースにキューブを追加すると、 Access Manager でキューブへのアクセスを制御でき

るようになります。

手順




3. “データソース” フォルダを選択します。

4. ［アクション］メニューの［ローカルキューブの追加］をクリックします。

5. ［名前］ボックスに、キューブの名前を入力します。

6. ［パスワード］ボックスと［パスワードの確認］ボックスに、キューブのパスワードを入力します。

注：信用サービスキューブパスワードプラグインが登録されている場合、［パスワード］

ボックスと［パスワードの確認］ボックスは表示されません。

7. 必要に応じて、［説明］ボックスにキューブの説明を入力します。


ヒント

- キューブのパスワードが変更された場合、 Access Manager に保存されているパスワードを

変更するには、［現在のパスワード］ボックスに現在のパスワードを入力し、［パスワード］ボックスと［パスワードの確認］ボックスに新しいパスワードを入力します。

- キューブの参照を削除するには、キューブを選択し、［アクション］メニューの［削除］をクリックします。

関連トピック






データベースに保存されているキューブを追加する

説明

データベースに保存されるキューブを追加すると、データベースとキューブへの参照が作成され、 Access Manager でアクセスを制御できるようになります。

キューブが保存されているデータベースには、自動アクセスサインオンを作成できます。


手順

1. データベースを追加します。

詳細については、「データベースを追加する」 (p. 61) を参照してください。

2. データベースをダブルクリックして開きます。

3. “キューブ” フォルダを選択します。

4. ［アクション］メニューの［データベースキューブの追加］をクリックします。

5. ［名前］ボックスに、キューブの名前を入力します。

6. 必要に応じて、［説明］ボックスにキューブの説明を入力します。

SQ IBM Cognos Series 7 Access Manager


7. ［接続文字列］ボックスで［編集］をクリックし、キューブが保存されているデータベースの接続文字列を設定します。

8. PowerPlay 接続のダイアログボックスで接続情報を入力します。

9. ［OK］をクリックして接続情報を保存します。


ヒント

- データベースに保存されているキューブの参照を削除するには、キューブを選択し、［アクション］メニューの［削除］をクリックします。

関連トピック





サーバーの設定：概要サーバーは、ネットワーク上のサーバーの場所を表します。 Access Manager は、 PowerPlay

サーバーと Transformer サーバーの接続情報を保存し、各サーバーへのユーザーアクセスを制

御します。

Access Manager を使用して、ユーザーに Transformer サーバーへの自動アクセスを設定するこ

ともできます。自動アクセスサインオンでは、ユーザーがサーバーのユーザー ID やパスワー

ドを入力せずに、サーバーにアクセスできます。

関連トピック

- 「PowerPlay サーバーを追加する」 (p. 67)

- 「Transformer サーバーを追加する」 (p. 65)



Transformer サーバーを追加する

説明

Transformer サーバーの追加では、ユーザーが Transformer を使用してアクセスするサーバーの

参照を設定します。

Transformer サーバーの自動アクセスサインオンも作成できます。

詳細については、「Transformer サーバーの自動アクセスを設定する」 (p. 66) を参照してくださ

い。

手順




3. “アプリケーションサーバー” フォルダを選択します。

4. ［アクション］メニューの［Transformer Server の追加］をクリックします。

5. ［名前］ボックスに、サーバーの名前を入力します。

この名前は、ネットワーク上でサーバーを識別する名前です。

6. 必要に応じて、［説明］ボックスにサーバーの説明を入力します。

Access Manager 管理者ガイド =SR



“アプリケーションサーバー” フォルダにサーバーが表示されます。

関連トピック




Transformer サーバーの自動アクセスを設定する

説明

Transformer サーバーの自動アクセスでは、サーバーにアクセスするためのユーザー ID が必要

です。サインオンを作成した後、任意のユーザーに適用できます。

自動アクセスをユーザーに割り当てる詳細については、「ユーザーの自動アクセスを設定する」 (p. 52) を参照してください。

手順




3. “アプリケーションサーバー” フォルダをダブルクリックして開きます。

Transformer サーバーの場合は、サーバーを追加する必要があります。

アプリケーションサーバーの追加については、「Transformer サーバーを追加する」 (p. 65)


4. Transformer サーバーを選択します。

5. ［アクション］メニューの［Transformer サインオンの追加］をクリックします。

6. ［ユーザー ID］ボックスに、ユーザー ID を入力します。

これは、サーバーにアクセスするために必要なユーザー ID です。

7. ［パスワード］ボックスと［パスワードの確認］ボックスに、サーバーのパスワードを入力します。

8. 必要に応じて、［説明］ボックスに説明を入力します。


ヒント

- サーバーのパスワードが変更された場合、 Access Manager に保存されているパスワードを

変更するには、［パスワード］ボックスと［パスワードの確認］ボックスにパスワードを入力します。

- Transformer サーバーへの参照を削除するには、 Transformer サーバーを選択し、［アクショ

ン］メニューの［削除］をクリックします。

関連トピック




SS IBM Cognos Series 7 Access Manager


PowerPlay サーバーを追加する

説明

PowerPlay サーバーを追加する際には、ユーザーが PowerPlay、 PowerPlay Web、 PowerPlay for

Excel などのクライアントアプリケーションを使用してアクセスするサーバーへの参照を設定

します。

手順




3. “アプリケーションサーバー” フォルダを選択します。

4. ［アクション］メニューの［PowerPlay Server の追加］をクリックします。

5. ［ホスト］ボックスに、サーバーの名前を入力します。

この名前は、ネットワーク上でサーバーを識別する名前です。

6. ［ポート］ボックスに、サーバーにアクセスするためのポート番号を入力します。

7. ［タイムアウト］ボックスに、 Access Manager がサーバーに接続を試みる最大時間を入力

します。

8. 必要に応じて、［説明］ボックスにサーバーの説明を入力します。


“アプリケーションサーバー” フォルダにサーバーが表示されます。

関連トピック




認証データを検索する

説明

ネームスペースに含まれている任意のタイプのオブジェクトを、ネームスペースから検索できます。たとえば、ユーザー、ユーザークラス、サーバーのホスト、データベース、キューブ、

サインオンを検索できます。検索条件に一致するオブジェクト、オブジェクトのタイプ、オブジェクトを含むネームスペースの場所が、検索結果として返されます。

一度に検索できるのは 1 つのネームスペースのみです。

手順



2. ［編集］メニューの［検索］をクリックします。

3. ［名前］ボックスに、検索するオブジェクトの名前または名前の一部を入力します。

4. ［タイプ］ボックスで、検索するオブジェクトのタイプを選択します。

5. ［検索開始］をクリックします。

見つかったオブジェクトが、そのタイプとネームスペース内の場所とともにダイアログ

ボックスに表示されます。オブジェクトをクリックして、オブジェクトの［プロパティ］

ダイアログボックスを表示できます。

関連トピック

- 「認証データをソートする」 (p. 68)


Access Manager 管理者ガイド =ST


認証データをソートする

説明

認証データは、 Access Manager ウィンドウの左側ウィンドウのフォルダに、五十音順または番

号順に表示されます。 Access Manager ウィンドウの右側ウィンドウでは、名前順またはタイプ

順にソートできます。たとえば、アプリケーションサーバーをタイプ順にソートし、

Transformer サーバーすべてと PowerPlay サーバーすべてをまとめて表示できます。

手順




3. ソートするデータを含むフォルダを選択します。

4. Access Manager ウィンドウの右側ウィンドウで、五十音順にソートする列のタイトルバー

（［名前］または［タイプ］）をクリックします。

タイトルバーにデータのソート方法（列および方向）を示す矢印が表示されます。

関連トピック

- 「認証データを検索する」 (p. 67)


SU IBM Cognos Series 7 Access Manager

第 4 章 : アプリケーション間のセキュリティの設

定

IBM Cognos のアプリケーションを使用して企業のデータベース情報からレポートやキューブ

を作成する場合に、 Access Manager Administration で作成および管理するユーザークラスを適

用して、そのレポートやキューブを保護できます。ユーザークラスでは、特定の情報への

ユーザーアクセスが制限されます。たとえば、キューブには全従業員に見せることが望まし

くない財務情報が含まれていることがあります。キューブのディメンションなどの情報にユーザークラスを適用すると、そのユーザークラスのメンバーだけが情報を見ることができます。

ユーザークラスのセキュリティが適用されているキューブまたはレポートにユーザーがアク

セスする場合、まず Access Manager によって識別が行われます。ユーザーが属するユーザー

クラスとそのユーザークラスの適用状況に応じ、ユーザーは表示を許可されている情報だけ

を見ることができます。たとえば、 PowerPlay キューブで特定の次元にユーザークラスを適用

すると、そのユーザークラスのメンバーだけがその次元の情報を見ることができるようにな

ります。

保護された情報にユーザーがアクセスできるようにするには、 Access Manager Administration で

認証データを設定します。また、ユーザーが使用できるように、認証データへのユーザーア

クセスも設定する必要があります。

認証データへのアクセスを設定する

認証データの管理者として、 Access Manager Administration で定義したユーザークラスが IBM

Cognos のアプリケーションでどのように機能するかをテストしたい場合があります。ユー

ザークラスをテストするには、まず Configuration Manager を使用して、標準的ユーザーが行う

のと同様に、 IBM Cognos のアプリケーションから必要な認証データにアクセスできるように

設定します。

Configuration Manager の詳細については、「認証ソースの設定」 (p. 12) を参照してください。

認証データを定義してテストし、他のアプリケーションでユーザークラスを適用した後、各

ユーザーは自分のコンピュータを認証ソースの必要な認証データにアクセスできるように設定します。

認証データへのアクセスを設定するには、ユーザーに次の項目が必要です。

- IBM Cognos アプリケーションと一緒にインストールされる Configuration Manager。

Configuration Manager はデフォルトでインストールされます。

- 必要なデータソースへの接続。データソースとは、ネームスペースを含むディレクトリ

サーバーや、リモートユーザー用のローカル認証エクスポートファイル（.lae）などで

す。

- ディレクトリサーバーの接続情報。ホスト、ポート、基本識別名（DN）などです。

- Web ベースのアクセスのための Ticket サービス情報。

ローカル認証キャッシュファイルを使用する

ユーザーが保護されたデータソース（キューブやレポートなど）に接続すると、 Access

Manager により自動的にローカル認証キャッシュファイル（.lac）が作成され、ユーザーのコ

ンピュータに保存されます。この結果、ユーザーがネットワークに接続していないときに同じデータソースに接続しようとすると、元の認証ソースではなく .lac ファイルが使用されます。

SV Licensed Materials - Property of IBM


第 4 章 : アプリケーション間のセキュリティの設定

Access Manager では、 Transformer、 PowerPlay、 PowerPlay Web などの Access Manager を使用す

る IBM Cognos アプリケーションの .lac ファイルが自動的に作成されます。 Upfront では .lac

ファイルをサポートしていません。

注：

- ローカル認証キャッシュファイル（.lac）は、認証データへの読み取りアクセス権のみが

必要なクライアントツール（PowerPlay クライアントなど）で使用するためのファイルで

す。 IBM Cognos サーバーでの .lac ファイルの使用はサポートされていません。これはパ

フォーマンスや同時実行で問題が発生する可能性があるためです。ローカル認証キャッシュファイル（.lac）は、 Configuration Manager で使用を中止することができます。

関連トピック

- 「Access Manager と PowerPlay」 (p. 71)

- 「Access Manager と PowerPlay Enterprise Server」 (p. 72)

- 「Access Manager と Transformer」 (p. 70)

- 「Access Manager と Upfront」 (p. 73)

- 「Access Manager と NoticeCast」 (p. 74)

- 「Ticket サービス」 (p. 74)

Access Manager と Transformer

Transformer は、データベースの情報から多次元キューブを作成するために使用します。ユー

ザーは、 PowerPlay でキューブにアクセスし、企業のデータを表示して分析します。

Transformer の管理者は、 Access Manager Administration でユーザークラスを作成し、ユーザー

が作成したキューブに適用できます。ユーザークラスは、どのユーザーがキューブデータの

どの部分にアクセスできるかを決定します。

ユーザークラスをキューブに適用する詳細については、 Transformer オンラインヘルプを参照


保護されたキューブにアクセスするユーザーは、そのキューブに対して指定されている認証ソースにもアクセスできなければなりません。最も一般的な認証データのソースは、 LDAP

ディレクトリサーバーのネームスペースにあります。 Transformer モデルで指定されたネーム

スペースがない場合は、 Configuration Manager で指定されたデフォルトのネームスペースで

ユーザークラス情報を確認します。 Configuration Manager でデフォルトのネームスペースが指

定されていない場合は、ディレクトリサーバーで指定されたデフォルトのネームスペースで

ユーザークラス情報を確認します。

保護されたキューブのユーザーが認証データにアクセスできない場合（ネットワークに接続していないなど）は、データをローカル認証エクスポートファイル（.lae）に変換し、このファ

イルをユーザーのコンピュータにコピーします。

Transformer では、ユーザークラスの結合をサポートしていません。複数のユーザークラスに

属するユーザーは、保護されたデータにアクセスするたびにユーザークラスを選択する必要

があります。

データベースのキューブにアクセスする

Access Manager では、他のデータベースに含まれるキューブへの自動アクセス情報も保存され

ます。データベースにはセキュリティが、キューブにはユーザークラスのセキュリティが適

用されている場合があります。ユーザークラスとデータベースの接続情報を統合して管理す

るには、 Access Manager Administration を使用してデータベースのサインオン情報を指定しま

す。これにより、ユーザーがキューブにアクセスするときに、データベースのユーザー ID と

パスワードを入力する必要がなくなります。


TM IBM Cognos Series 7 Access Manager


キューブに自動アクセスを適用する

Transformer を使用してサインオン情報（データベースのユーザー ID、パスワード、接続パラ

メータなど）をキューブに保存する（.mdc ファイル）代わりに、 Access Manager を使用してサ

インオン情報をネームスペースに保存できます。サインオン情報をネームスペースに保存すると、サインオン情報の集中管理が容易になります。

ネームスペースと Transformer の両方に同じキューブのサインオン情報がある場合は、ネーム

スペースの情報が優先されます。またユーザーがディレクトリサーバーのネームスペースを

使用するように設定されている場合、 Transformer では、ネームスペースに指定されている自

動アクセス情報が読み取られます。

Transformer で自動アクセスを適用する方法の詳細については、 Transformer オンラインヘルプ


Transformer でユーザークラスビューを適用する

ユーザークラスビューを作成してユーザークラスを割り当てると、ユーザーがアクセスでき

るデータをさらに詳しく定義できます。たとえば、 Great Outdoors 社では、 “発注日”、 “製品ラ

イン” および “地域” というディメンションで構成されるキューブを配布しています。キューブには、 “ヨーロッパ”、 “北米”、 “極東” の各ユーザークラスのメンバーが、自分の地域の

データだけを見ることができるユーザークラスビューが適用されています。

Transformer では、ディメンションビューとユーザークラスをキューブに適用して、カスタム

ビューを持つキューブを作成できます。これは、特定のユーザークラスだけがアクセスでき

るキューブを作成するという点で、ユーザークラスビューと同じです。ただし、ユーザーク

ラスビューでは 1 つのキューブに複数のビューを適用して、配布ファイルの数を大幅に減ら

せるため、ユーザークラスビューを使用する方が効率的だといえます。

Transformer でユーザークラスビューを適用する詳細については、 Transformer オンラインヘル

プを参照してください。

関連トピック






- 「アプリケーション間のセキュリティの設定」 (p. 69)

Access Manager と PowerPlay

PowerPlay は、 Transformer で作成した多次元キューブのデータを表示して分析するために使用

します。 Transformer の管理者は、キューブを作成するときに、キューブの次元にユーザーア

クセスを制限するユーザークラスを適用できます。ユーザーが PowerPlay を使用してキューブ

にアクセスする場合、自分が属しているユーザークラスがアクセス権を持つディメンション

のみを見ることができます。

PowerPlay では、ユーザークラスの結合をサポートしています。複数のユーザークラスに属す

るユーザーがログオンすると、属している全ユーザークラスの権限がすべて付与されます。

ユーザークラスのセキュリティをキューブに適用する詳細については、「Access Manager と

Transformer」 (p. 70) を参照してください。

Windows 共通ログオンサーバーを使用する

PowerPlay に付属の Windows 共通ログオンサーバーをインストールしているユーザーは、同じ

認証データを使用して複数のデータソースにアクセスできます。

サーバーのインストールの詳細については、製品のインストールおよび構成ガイドを参照してください。

Access Manager 管理者ガイド =TN


ユーザーアクセスを容易にする管理マクロを作成する

キューブへのユーザーアクセスを容易にするため、ユーザーがキューブにアクセスするとき

に必要な認証データを、 PowerPlay に自動的に供給する管理マクロを設定できます。デフォル

トでは、ユーザーがキューブを開こうとすると、プロセスを自動化するマクロが設定されているかどうかが、 PowerPlay によって確認されます。マクロが見つからない場合は、ユーザー ID

とパスワードの入力を求めるプロンプトがユーザーに表示されます。

管理マクロについては、 PowerPlay マクロのヘルプを参照してください。

Access Manager と PowerPlay Connect

PowerPlay Connect ユーティリティは、 PowerPlay ユーザーや管理者が、サーバーやデータベー

スの接続情報を保存する .mdc ポインタファイルの作成や変更に使用します。 PowerPlay

Connect を使用して、 Oracle、 Sybase、 MS SQL Server、 Informix、 DB2 のデータベースに保存さ

れているキューブへのアクセスを定義できます。また、 PowerPlay Connect では、 Hyperion、

DB 2、 Oracle Express、 MS SQL Server などの OLAP サーバーへのアクセスを定義することもで

きます。

Access Manager は、ユーザーが .mdc ポインタファイルを作成するために必要な接続情報を

PowerPlay Connect に供給します。現在設定されているネームスペースにサーバーやデータベー

スの接続情報が含まれている場合、 PowerPlay Connect は情報を読み取り、参照の一覧に表示し

ます。このため、ユーザーは適切な接続情報を入力しなくても、一覧から選択できます。

詳細については、 PowerPlay Connect オンラインヘルプを参照してください。

関連トピック






Access Manager と PowerPlay Enterprise Server

PowerPlay Enterprise Server に保存されているキューブを表示するには、 PowerPlay Enterprise

Server と Web ブラウザを使用します。サーバーまたは Web サイトには、キューブを参照する

だけで誰でもアクセスできます。ただし、 Transformer の管理者は、作成したキューブにユー

ザークラスのセキュリティまたはユーザークラスビューを適用できます。この場合、ユー

ザーがキューブにアクセスする際に表示できるデータは、自分が属しているユーザークラス

またはユーザークラスビューがアクセス権を持つディメンションだけになります。

Transformer の管理者は、パスワードで保護されたキューブ、サーバー、データベースに自動

アクセスを適用することもできます。

保護されたキューブをサーバーに展開するには、管理者がディレクトリサーバーのネームス

ペースにアクセスできなければなりません。また、ユーザークラスビューをキューブに適用

できるバージョンの Transformer を使用する必要があります。

PowerPlay Enterprise Server では、ユーザークラスの結合をサポートしています。複数のユー

ザークラスに属するユーザーがログオンすると、属している全ユーザークラスの権限がすべ

て付与されます。

ユーザークラスのセキュリティをキューブに適用する詳細については、「Access Manager と

Transformer」 (p. 70) を参照してください。セキュリティをキューブに適用する詳細について

は、 Transformer オンラインヘルプを参照してください。

TO IBM Cognos Series 7 Access Manager


PowerPlay Enterprise Server を使用して保護されたキューブを展開する

管理者が保護されたキューブを PowerPlay Enterprise Server に追加する場合、キューブの認証

ソースとユーザーが入力しなければならないログオン情報（ユーザー ID とパスワード、ユー

ザークラス名、データベースのユーザー ID とパスワードなど）をサーバーに指定できます。

管理者が認証ソースを指定しないと、 Access Manager ではキューブに指定されている認証ソー

スを読み取ります。

詳細については、 PowerPlay Enterprise Server の管理ヘルプを参照してください。

Upfront へ発行する

PowerPlay Enterprise Server Administration ツールから Upfront へキューブやレポートを発行する

場合は、 Access Manager を使用してツールを保護する必要があります。 Upfront へ発行する場

合は、サーバーのパスワードによる保護は使用できません。

詳細については、 PowerPlay の『Enterprise Server ガイド』を参照してください。

Ticket サービス

Access Manager Server の Ticket サービスでは、レポートとキューブへのアクセスを制御するた

めのチケットが発行されます。 1 回のセッションの間、複数の IBM Cognos アプリケーション

で同じ認証データを使用できます。

詳細については、「Ticket サービス」 (p. 74) を参照してください。

関連トピック







Access Manager と Upfront

IBM Cognos Upfront を PowerPlay Web と共に使用して、ビジネス情報を整理して共有します。

PowerPlay Web のユーザーは、レポートやクエリーを NewsIndex のエントリとして Upfront に

発行します。

Upfront のセキュリティ設定は、 Access Manager Administration でユーザーとユーザークラスを

設定することによって定義します。 Upfront の各ユーザーは、少なくとも 1 つのユーザークラ

スに属している必要があります。 Upfront の NewsIndex 管理者は、ユーザークラスを

NewsIndex のエントリに適用し、 NewsBoxes や NewsIndex のエントリへのアクセスを制御しま

す。

Upfront ユーザーは、自分のユーザー ID と属するユーザークラスを、 Upfront で表示できます。

Upfront ユーザーが Upfront で各自のパスワードおよび個人用の設定を変更できるようにするに

は、 Access Manager Administration でユーザーにその権限を付与する必要があります（［ユー

ザークラスプロパティ］ダイアログボックスの［使用権限］タブ）。これらのユーザーが変

更できるのは、 Access Manager に保存されている設定のみです。

Upfront では、ユーザークラスの結合をサポートしています。複数のユーザークラスに属する

ユーザーがログオンすると、属している全ユーザークラスの権限がすべて付与されます。

Upfront の使用方法の詳細については、 Upfront のオンラインヘルプを参照してください。

関連トピック



Access Manager 管理者ガイド =TP






Access Manager と NoticeCast

NoticeCast を使用すると、ビジネスアプリケーションにおいてタイミングが重要となるイベン

トを検出、管理できます。ユーザーは、データに規則としきい値を適用します。これらの条件を満たすイベントが発生すると、関係するユーザーに通知が送信されます。通知は、有線デバイスまたはワイヤレスデバイスに対して電子メールで実行されます。

各 NoticeCast ユーザーのアクセス権は、 Access Manager で定義したユーザークラスの資格に

よって制御されます。

関連トピック







Ticket サービス

説明

複数の Ticket サービスを設定することにより、 Access Manager の信頼性を高めることができま

す。複数の Ticket サービスを設定すると、プライマリ Ticket サービスから反応がない場合に、

フェイルオーバーメカニズムにより、処理がセカンダリ Ticket サービスに自動的に切り替わ

ります。また、複数の Ticket サービス間で負荷を分散させ、パフォーマンスを向上させること

もできます。

Ticket サービスは Access Manager Server の一部です。 Access Manager Server Ticket サービスで

は、レポートとキューブへのユーザーアクセスを制御するためのチケットが発行されます。 1

回のセッションの間、複数の IBM Cognos アプリケーションで同じ認証データを使用できます。

この結果、サーバーに含まれる複数のキューブにアクセスするときも、ユーザーはサインオンを 1 回入力するだけで済みます。保護されたデータソースにアクセスするたびに、ユーザー

ID とパスワードを入力する必要はありません。

Ticket サービスは、 1 回のセッションの間、レポートまたはキューブへのユーザーアクセスを

制御します。

Ticket サービスの情報は、ローカル認証エクスポートファイル（.lae）に保存できます。

Ticket サービスのインストールの詳細については、製品のインストールおよび構成ガイドを参

照してください。

手順

1. ［認証情報］ウィンドウで、 “ディレクトリサーバー” フォルダをクリックします。

2. ［操作］メニューの［接続の追加］をクリックします。

ディレクトリサーバーのプロパティダイアログボックスが表示されます。

3. ［全般］タブの［ホスト］ボックスに、ディレクトリサーバーがインストールされている

サーバーの名前、または IP アドレスを入力します。

4. ［ポート］ボックスに、ディレクトリサーバーが使用するポートを入力します。

TQ IBM Cognos Series 7 Access Manager


デフォルトのポートは 389 です。ディレクトリサーバーによって、このポートが LDAP

サーバーに割り当てられます。コンピュータに複数のサーバーがある場合は、各サーバーをポート名で区別します。

5. ［タイムアウト］ボックスに、ユーザーがディレクトリサーバーとの接続を確立するまで

の時間制限を秒単位で入力します。

6. ［基本識別名（DN）］ボックスに、 LDAP 標準に準拠したルートディレクトリの DN を入

力します。

DN は、 Sun Java System Directory Server をインストールしたときに［ディレクトリサ

フィックス］ボックスに入力した名前で、たとえば「o=Cognos, c=CA」などです。ディレ

クトリサーバーをインストールしていない場合は、必要な DN を管理者に問い合わせてく

ださい。

7. ［実行時認証情報］タブをクリックします。

［管理者アクセス］ダイアログボックスが表示されます。

8. ［実行時アドミニストレータ識別名（DN）］ボックスに、ディレクトリサーバーのログオ

ンに使用する名前を入力します。

9. ［実行時アドミニストレータパスワード］ボックスに、対応するパスワードを入力します。


11. ［Ticket サービス］タブをクリックします。

注： Configuration Manager を使用して 1 つ以上の Ticket サービスを設定した場合は、

Configuration Manager を使用して設定した Ticket サービスとしてエントリが Ticket サービ

スの接続リストに表示されます。

別の Ticket サービスに接続するには、手順 12 に進みます。 Ticket サービスの設定が終了し

たら、手順 13 に進んで Ticket サービスの接続が適切に設定されていることを確認します。

12. ［追加］をクリックします。［プロンプト］ボックスに、 Ticket サービスがインストールさ

れているサーバーの名前または IP アドレスとポートを入力します。

ヒント：ホストは、名前または IP アドレスで入力できます。このポートには、

Configuration Manager で指定したものと同じポートを使用します。デフォルトのポート番

号は「9010」です。

13. Ticket サービスの接続リストの各 Ticket サービスについて、 Ticket サービスを選択して

［テスト］をクリックします。

接続に失敗すると、エラーメッセージが表示されます。接続情報が正しいことを確認します。

ヒント： Ticket サービスのエントリは、「ホスト : ポート」形式で入力されている必要があ

ります。


注：

- Ticket サービスにアクセスする各コンピュータは、 Ticket サービスがインストールされて

いるコンピュータへアクセスできることが必要です。 Ticket サービスにアクセスする各コ

ンピュータから、 Ticket サービスのコンピュータを ping できない場合は、 Ticket サービス

のコンピュータ名を DNS （ドメインネームシステム）サーバーに登録するか、 IP アドレ

スでそのコンピュータを参照する必要があります。

- UNIX 上にある Ticket サービスのホスト名を使用するようにディレクトリサーバーを設定

する場合は、選択したホスト名を使用してサーバーが通信できることを確認してください。通信できない場合は、 UNIX サーバーの IP アドレスを使用するか、 “/etc/hosts” ファ

イルを編集して名前が正しく解決されるようにします。

- 実行時に Ticket サービスの接続リストのエントリを再編成しないでください。 Ticket サー

ビスの接続の順番を変更する場合は、 Upfront サービスを再起動する必要があります。再

起動しなかった場合、認証の問題が発生することがあります。

関連トピック


Access Manager 管理者ガイド =TR







- 「Ticket サービスアクティビティの監査」 (p. 76)

Ticket サービスアクティビティの監査

説明

Access Manager Server の Ticket サービスを使用すると、オプションで Ticket サービス情報の監

査を使用可能にできます。これにより、有効なログイン、ログアウト、およびセッション（チケット）の終了に関する履歴情報を含むログファイルを確認できます。この機能を使用可能に

する方法については、『Configuration Manager ユーザーガイド』を参照してください。

ログファイルを変換する

イベントログの記録を使用可能にしている場合は、セッションのログが作成されます。 Ticket

サービスのイベントログの記録が使用可能になっている場合に、実行時パフォーマンスに大

きな影響がないように、ログはバイナリ形式で作成されます。バイナリ形式のログファイル

をテキストファイルに変換するには、変換ユーティリティの TSLogProcessor を使用する必要

があります。

手順

1. コマンドプロンプトセッションを開始します。

2. “＜インストール場所＞ \bin” に移動します。

3. 「TSLogProcessor」および必要なパラメータを入力します。

たとえば、次のように入力します。

「TSLogProcessor -h myhost -p 1465 -r "o=cognos, c=ca" -D "cn=Directory Manager" -w admin1234

-f "X:\Program Files\Cognos\cern\bin\logs\ts-901020021016.log" -n mynamespace」

次の表はパラメータの一覧です。

パラメータ説明

-? ヘルプ情報。

-h ディレクトリサーバーホストの名前。

-p ディレクトリサーバーのポート番号。

-r ルート識別名。

-D ディレクトリサーバーのバインド名。

-w バインド名に対応するバインドパスワード。

-f ログファイルのパス。

-n ネームスペースを指定する。オプションパラメータです。

ネームスペースを指定した場合は、そのネームスペースのエントリのみが返されます。ネームスペースを指定しなかった場合は、ログ

ファイルのすべてのエントリが返されます。

TS IBM Cognos Series 7 Access Manager


変換されたログファイルを分析する

読むことができる形式にログファイルが変換されたら、データを分析して Ticket サービスの

使用状況を評価できます。ログファイルには、 Ticket サービスのプロパティ（ホスト、ポー

ト、基本識別名など）に関するヘッダー情報が含まれています。ログファイルの残りの全エ

ントリは、リクエストされた Ticket サービスのイベントに関する情報です。

ログファイルの各エントリは、次のようになります。

[Mon Nov 04 09:46:39 2002] from:142.88.98.219 ticket:10364211933Ngqb8QiOo515jSSchUA action:access details:ns=MyNamespace user=John Doe status:success

関連トピック


- 「監査ログ記録を使用可能にする」 (p. 42)

-x ファイルを XML 形式にフォーマットする。オプションパラメータ

です。

-S SSL が使用可能。

-C SSL 認証データベースのパス。



[日付 /時間 ] Ticket サービスのイベントが発生した時点のタイムスタンプ。

from: <IP アドレス > アクションをリクエストしたサーバーの IP アドレス。

action: [ logon | update | access | logout | expiry ]

Ticket サービスによってリクエストされたアクション。 5 つの

アクションがリクエストされます。

- logon ：チケットを作成するためのリクエスト。

- update ：チケットの内容を更新するためのリクエスト。

- access ：チケットにアクセスするためのリクエスト。

- logout ：チケットを終了するためのリクエスト。

- expiry ：チケットの期間が経過し、チケットが終了するこ

とを表す。

details: <詳細情報のリスト > ネームスペースとユーザー名を表す。

status: [ success | fail ] リクエストされたアクションが成功したか失敗したかを表す。

Access Manager 管理者ガイド =TT


TU IBM Cognos Series 7 Access Manager

FAQ およびトラブルシューティング

ユーザーとしてログオンできないのは ?

ユーザー ID とパスワードが正しいことを確認します。また、ユーザークラスが少なくとも 1

つ割り当てられていることを確認します。

ユーザーを削除できないのは ?

ネームスペースで匿名アクセスを使用可能にしている場合は、そのネームスペースから匿名ユーザーを削除できません。

ネームスペースでゲストアクセスを使用可能にしている場合は、そのネームスペースからゲ

ストユーザーを削除できません。

現在のセッションで使用している認証情報を持つユーザーは削除できません。

ユーザークラスを削除できないのは ?

ネームスペースでパブリックユーザークラスを使用可能にしている場合は、そのネームス

ペースからパブリックユーザークラスを削除できません。

ルートユーザークラスは削除できません。

自分が属しているユーザークラスは削除できません。また、そのユーザークラスのプロパ

ティも変更できません。

ネームスペースをマージした後、保護されたリソースを開く

ことができないのは ?

キューブ、レポート、または基本クエリーなどのセキュリティで保護されたリソースには、そのリソースに関連付けられているユーザーおよびユーザークラスに関する一意のキー値が保

存されています。

複数のネームスペースを、セキュリティで保護された新しいリソースまたはユーザーの新しいリストを含む単一のネームスペースとマージする場合は、そのリソースをターゲットのネームスペースに含まれるユーザーリストに再び関連付ける必要があります。また、同一のリソー

ス名またはユーザー名を含むターゲットのネームスペースも、再び関連付ける必要があります。

セキュリティで保護されたリソースを再び関連付けるには、そのリソースを再生成します。

ネームスペースのマージの詳細については、「ディレクトリサーバー間でネームスペース情報


TV Licensed Materials - Property of IBM



［切り取り］コマンドが［コピー］コマンドのように動作す

るのはどのような場合 ?

Access Manager Administration の右側ウィンドウにあるオブジェクトを選択して、［編集］メ

ニューまたはツールバーの［切り取り］コマンドをクリックすると、［切り取り］コマンドは

［コピー］コマンドのように動作します。たとえば、あるユーザーのデータベースキューブオ

ブジェクトを切り取ってから、別のユーザーを選択して［貼り付け］コマンドをクリックすると、クリップボードからこのユーザーの右側ウィンドウに元のユーザーのオブジェクトがコピーされます。

SSL 通信用に設定されたディレクトリサーバーに接続できな

いのは ?

ディレクトリサーバーが SSL 用に設定されている場合、 Configuration Manager で Access

Manager - Runtime を設定したり、 Access Manager Administration でディレクトリサーバーへの

接続を追加したりすると、ディレクトリサーバーが応答していないことを示すエラーメッ

セージが表示されることがあります。 Access Manager では、 SSL 証明書データベースで

“cert7.db” ファイルの場所（ファイル名 “cert7.db” を含む）が指定されている必要がありま

す。また、 “cert7.db” ファイルと同時に生成される “key3.db” ファイルも、同じ場所に保存さ

れている必要があります。

“cert7.db” ファイルと “key3.db” ファイルを生成または更新するには、 Netscape Navigator 4.x

を使用するか、 IBM Cognos 製品 CD に収録されている certutil アプリケーションを使用します。

certutil アプリケーションと関連 .dll ファイルは、 IBM Cognos Series 7 製品 CD の “Support

Files/sun_one/certutil” フォルダに入っています。このユーティリティを使用するには、

“certutil” フォルダ内のすべてのファイルをコンピュータにコピーします。

手順

1. コマンドプロンプトウィンドウを開き、 “certutil.exe” ファイルが入っているディレクト

リに移動します。

2. ユーティリティを実行するには、次のように入力します。

certutil -A -n ＜表示名＞ -t C -d ＜出力ディレクトリ＞ -i ＜ CA 証明書＞

- ＜表示名＞：追加する証明書の名前

- ＜出力ディレクトリ＞： “cert7.db” ファイルが作成または更新されるディレクトリ

- ＜ CA 証明書＞：認証局から取得した証明書の場所とファイル名

たとえば、「certutil -A -n mycacert -t C -d c:\ -i ca.cer」のように入力します。

“cert7.db” と “key3.db” という 2 つの必須ファイルが作成されます。これらのファイルが

Configuration Manager の Access Manager - Runtime で正しく指定されていることを確認します。

Active Directory Server を使用して、基本的な文字構成が同じ

である複数のオブジェクトを追加すると、エラーメッセージ

が表示されるのは ?

Active Directory をディレクトリサーバーとして使用している場合に、基本的な文字構成が同

じである複数のオブジェクト（ネームスペース、ユーザー、ユーザークラスなど）を追加し

ようとすると、 Access Manager - Administration で次のエラーメッセージが返されることがあり

ます。

An internal error has occurred in Access Manager.

UM IBM Cognos Series 7 Access Manager


Active Directory では、基本的な文字構成が同じである 2 つのオブジェクトは存在できません。

たとえば、「cot」というユーザーと「cote」というユーザーを追加することはできません。

Access Manager Server が起動しない原因を特定するには ?

Configuration Manager、 Windows のコントロールパネル、または UNIX のコマンドラインを使

用して Access Manager Server を起動しようとした場合に、サーバーが起動しない原因が表示さ

れないときは、次の方法で詳しい情報を確認できます。

- Windows の場合は、イベントビューアを使用します。

- UNIX の場合は、 “＜インストール場所＞ /bin” ディレクトリの “amserver.log” ファイルを

確認します。

Access Manager Server で予期しない動作が生じた場合は、Windows のイベントビューアまたは

UNIX の “amserver.log” ファイルでいつでも詳細を調べることができます。

Access Manager 管理者ガイド =UN


UO IBM Cognos Series 7 Access Manager

付録 A: Access Manager のユーティリティ

Access Manager には、ネームスペースの評価に使用するコマンドラインユーティリティが 2

つ用意されています。

AM_NamespaceReport ユーティリティ

ネームスペース内のすべてのユーザーまたはユーザークラスを示す 2 種類の XML 形式レポー

トを作成するには、 AM_NamespaceReport ユーティリティを使用します。オプションのフィル

タを使用すると、パスワードの期限が切れたユーザーやユーザーが最後にパスワードを変更した日時など、特定の情報が含まれているレポートを作成できます。

AM_NamespaceReport ユーティリティは、どのバージョンのネームスペースについても実行で

きます。有効なユーザーであれば誰でもログオンできますが、レポートに表示されるのは、

ユーティリティを実行するユーザーが表示権限を持っているユーザーとユーザークラスだけ

です。

デフォルトのユーザーレポート（all フィルタを指定した場合と同じ）には、ユーザー名、名、

姓、説明、電子メール、電話番号、基本サインオン、および OS サインオンが含まれます。

バージョン 17.0 のネームスペースの場合は、外部ユーザー DN も返されます。

デフォルトのユーザークラスレポート（all フィルタを指定した場合と同じ）には、ユーザー

クラス名、子ユーザークラスの名前、メンバーユーザーの名前、およびアクセス権が含まれ

ます。

次に示すレポート出力用の XML スキーマは、 “＜インストール場所＞ \cern\accman” ディレ

クトリにあります。

- AM_NamespaceReport_users.xsd

- AM_NamespaceReport_users_v2.xsd （-b パラメータを指定した場合に使用）

- AM_NamespaceReport_userclasses.xsd

構文

AM_NamespaceReport ユーティリティは、コマンドプロンプトウィンドウを使用して “＜イン

ストール場所＞ \cern\bin” ディレクトリから実行します。このユーティリティを実行するに

は、次の構文を使用します。

AM_NamespaceReport -options -o output_file_name

すべてのパラメータで大文字と小文字が区別されます。


-help パラメータの説明を表示する。このオプションを使用する場合は、オプション

であるか必須であるかにかかわらず、他のどのパラメータも指定しないでください。

-h ディレクトリサーバーのコンピュータ名を指定する。デフォルトは localhost

です。

-p ディレクトリサーバーのポート番号を指定する。デフォルトは 389 です。

UP Licensed Materials - Property of IBM



-r ディレクトリサーバーの基本 DN を指定する。デフォルトは o=cognos, c=ca で

す。

-s SSL が有効であることを指定する。このパラメータはオプションです。

-C “cert7.db” ファイルの場所を指定する。このパラメータは、 SSL が有効な場合

にのみ必要です。

-n レポートの対象となるネームスペースの名前を指定する。ネームスペースを指

定しない場合は、デフォルトのネームスペースに関するレポートが作成されます。

-D 必須。ネームスペースに対する認証に使用するユーザー名を指定します。デ

フォルトは OSSignons です。

-w ユーザーパスワードを指定する。パスワードが空白の場合は、このオプショ

ンを含めないでください。

-t レポートのタイプを指定する。 users と userclasses のオプションがサポートさ

れています。デフォルトは users レポートです。

-f レポートに使用するフィルタのタイプを指定する。

users レポートタイプでは、次のフィルタオプションがサポートされていま

す。

- all

すべてのユーザー情報が返される。このフィルタがデフォルトです。

- userclasses

ユーザーのユーザークラスの資格に関する情報のみが返される。

- brokenlink

DN が壊れているユーザーの名前だけが返される。このフィルタは、バー

ジョン 17.0 のネームスペースでしか使用されません。

- lockedout

アカウントがロックされているユーザーの名前のみが返される。

- disabled

アカウントが使用不可になっているユーザーの名前のみが返される。

userclasses レポートタイプでは、次のフィルタオプションがサポートされて

います。

- all

すべてのユーザークラス情報が返される。このフィルタがデフォルトで

す。

- users

メンバーユーザーの名前のみが返される。

- userclasses

子ユーザークラスに関する情報のみが返される。


UQ IBM Cognos Series 7 Access Manager


例

ネームスペースのすべてのユーザーの一覧をレポートするには、次のように入力します。

D:\Cognos\installation_location\bin>AM_NamespaceReport –n default –D Administrator –w "" -t users -f all –o all_users.xml

users レポートタイプの出力のサンプルを次に示します。

<?xml version="1.0" encoding="UTF-8"?><NamespaceReport xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:noNamespaceSchemaLocation="D:\Cognos\cer4\accman\AM_NamespaceReport.xsd" host="localhost" port="389" baseDN="o=Cognos,c=ca" ns="Default" user="Administrator" type="users" filter="all">

<User name="Sam Carter" first_name="Sam" last_name="Carter" email="[email protected]" phone="(123)456-7890" externalUserDN="uid=scarter,ou=people,o=cognos,c=ca">

<BasicSignon>scarter</BasicSignon><OSSignon>domain/scarter</OSSignon><Description>Employee id: 12345</Description>

</User><User name="Ted Morris" first_name="Ted" last_name="Morris"

email="[email protected]" phone="(123)456-7899" externalUserDN="uid=tmorris,ou=people,o=cognos,c=ca">

<BasicSignon>tmorris</BasicSignon><OSSignon>domain/tmorris</OSSignon><Description>Employee id: 56789</Description>

</User></NamespaceReport>

AM_NamespaceCorruptionDetect ユーティリティ

予期しないハードウェア障害などの特定の状況において、ネームスペースが破損する可能性があります。ネームスペースが破損すると、予想外の動作が生じることがあります。

AM_NamespaceCorruprtionDetect ユーティリティを使用して、ネームスペースが破損している

かどうかを調べることができます。破損がいつ発生したかを特定できるように、このユーティ

リティを定期的に実行してください。

このユーティリティを実行すると、ネームスペースが破損しているかどうかを示すメッセージが表示されます。ネームスペースが破損している場合は、 IBM Cognos Software Services までお

問い合わせください。

構文

AM_NamespaceCorruptionDetect ユーティリティは、コマンドプロンプトウィンドウを使用し

て “＜インストール場所＞ \cern\bin” ディレクトリから実行します。このユーティリティを実

行するには、次の構文を使用します。

AM_NamespaceCorruptionDetect -t type -f LAE_filename -h host -p port -s -C cert7.db -r baseDN -n namespace -D username -w password

-o 必須。レポートの出力場所とファイル名を指定します。レポートの形式は

XML です。

-b 各ユーザーのパスワードの最終変更日時がレポートに表示されるように指定する。


Access Manager 管理者ガイド =UR



amADUpdate ユーティリティ

プライマリディレクトリサーバーが IBM Cognos 製品用に設定された Microsoft Active

Directory である場合は、 IBM Cognos Configuration で外部ユーザーサポートを有効にして設定

する前に、 amADUpdate ユーティリティを実行する必要があります。 amADUpdate ユーティリ

ティは Windows でのみ使用できます。

次の場合、 amADUpdate ユーティリティを実行する必要はありません。

- IBM Cognos 製品用に設定されていない Microsoft Active Directory を使用している。

- Sun Java System Directory Server や IBM Tivoli Directory Server など、 Microsoft Active

Directory 以外のサポートされているプライマリディレクトリサーバーを使用している。

ディレクトリサーバーが IBM Cognos 製品用に設定されているかどうかは関係ありませ

ん。

構文

amADUpdate ユーティリティは、コマンドプロンプトウィンドウを使用して “＜インストー

ル場所＞ \cern\bin” ディレクトリから実行します。このユーティリティを実行するには、次の

構文を使用します。

amADUpdate -h host -p port -r baseDN -D username -w password


-help パラメータの説明を表示する。このオプションを使用する場合は、オプション

であるか必須であるかにかかわらず、他のどのパラメータも指定しないでください。

-t ネームスペースの保存場所を指定する。 LDAP と LAE のオプションがサポー

トされています。デフォルトは LDAP です。

-f ローカル認証エクスポートファイルの場所と名前を指定する。 -t LAE オプ

ションを使用する場合は、このオプションも使用する必要があります。

-h ディレクトリサーバーのホストコンピュータ名を指定する。デフォルトは

localhost です。

-p ディレクトリサーバーのポート番号を指定します。デフォルトは 389 です。

-r ディレクトリサーバーの基本 DN を指定する。デフォルトは o=Cognos, c=CA

です。

-s ディレクトリサーバーの SSL が有効になっていることを指定する。 SSL が有

効になっていない場合は、 -s を含めないでください。

-C “cert7.db” ファイルの場所を指定する。 SSL が有効になっている場合、このオ

プションは必須です。

-n 破損しているかどうかを調べるネームスペースの名前を指定する。ネームス

ペース名を指定しない場合は、デフォルトとして設定されているネームスペースが使用されます。

-D ネームスペースに対する認証に使用するユーザー名を指定する。デフォルトは

OSSignons です。

-w ユーザーパスワードを指定する。パスワードが空白の場合は、このオプショ

ンを含めないでください。

US IBM Cognos Series 7 Access Manager



amADUpdate ユーティリティを実行したら、 Configuration Manager で外部ユーザーサポートを

設定し、「外部ユーザーサポートを使用可能にする」 (p. 41)に進みます。


-h ＜ホスト＞オプション。 Active Directory がインストールされているコンピュータを

指定します。ホストを指定しない場合は、 localhost がデフォルトで使用

されます。

-p ＜ポート＞オプション。 Active Directory によって使用されるポートを指定します。

ポート番号を指定しない場合は、 389 がデフォルトで使用されます。

-r ＜基本 DN＞必須。基本識別名を指定します。

-D ＜ユーザー名＞必須。 Active Directory にアクセスするときの認証に使用するユーザー名

を指定します。

-w ＜パスワード＞オプション。認証されたユーザーのパスワードを指定します。パスワー

ドを指定しないと、ツールの実行時にパスワードの入力を求めるプロンプトが表示されます。

Access Manager 管理者ガイド =UT


UU IBM Cognos Series 7 Access Manager

用語集

Access Manager サーバー

Ticket サービスと Authentication サービスを管理する IBM Cognos コンポーネント。 Access

Manager Server は Ticket サービスまたは Authentication サービス、あるいはその両方として設定

できます。

Access Manager Server は各 IBM Cognos アプリケーションに対して 1 つ以上必要です。可能であ

れば、 Access Manager Server はディレクトリサーバーがあるコンピュータにインストールして

ください。 Access Manager サーバーにフェイルオーバーと負荷分散を実装するには、追加の

Access Manager サーバーをインストールし、 Configuration Manager で負荷分散を設定します。

「Ticket サービス」と「Authentication サービス」も参照してください。

Authentication サービス

Web ベースで実行する IBM Cognos アプリケーションでの認証に使用する Access Manager

Server サービス。 Authentication サービスが設定されている場合、ログオンプロセスから

Authentication サービスへの通信が行われ、続いて Authentication サービスから Ticket サービス

およびディレクトリサーバーへの通信が行われます。 Authentication サービスが設定されてい

ない場合、ログオンプロセスから直接 Ticket サービスとディレクトリサーバーへの通信が行

われます。デフォルトでは、 Authentication サービスは無効となっています。このサービスを使

用するには、Access Manager Server を Authentication サービスとして設定する必要があります。

「Access Manager Server 」と「Ticket サービス」も参照してください。

IBM Cognos Security Administration ファイル（.csa）

Access Manager で接続情報を保存するために使用されるファイル。このファイルでは、ディレ

クトリサーバーと .lae ファイルの接続情報、現在アクティブに設定されているディレクトリ

サーバー、ディレクトリツリーのノードの展開状態が管理されます。

LDAP データ交換形式ファイル（.ldif）（定義）

標準の LDAP データ交換形式の ASCII ファイル。

Netscape 証明書データベースファイル

デジタル証明書の保管に使用されるファイル。デジタル証明書は、 Secure Sockets Layer （SSL）

接続に必要なデジタル署名と秘密鍵の作成に使用されます。


アプリケーションの複数の機能を、オブジェクトのコレクション（グループ）として提供するプロセス。 OLE オートメーションオブジェクトでは、プロパティとメソッドを使用して、オ

ブジェクトの属性や動作の特性を制御できます。たとえば、アプリケーションから使用できるオブジェクト、プロパティ、メソッドは、アプリケーションオブジェクトによって提供され

るダイアログボックスのオプションやメニューコマンドに対応します。

UV Licensed Materials - Property of IBM


用語集

Ticket サービス

Web ベースで実行する IBM Cognos アプリケーションのユーザーがシングルサインオンを行う

ために使用するチケットを発行する Access Manager Server サービス。チケットは指定した期間

を対象に発行されるため、ユーザーは認証データを再入力せずに複数のアプリケーションにアクセスできます。このサービスを使用するには、 Access Manager Server を Ticket サービスとし

て設定する必要があります。

「Access Manager Server 」と「Authentication サービス」も参照してください。

Windows 共通ログオンサーバー

Windows ベースのアプリケーションを使用するユーザーが、 1 回のログオンで複数のデータ

ソースにアクセスできるように、ユーザーの情報を記録するサーバー。

オブジェクト

ファイルやレポートなどの作成または変更を行うために操作する OLE オートメーションの要

素。オブジェクトを操作するには、プロパティやメソッドを変更します。

オペレーティングシステム（OS）サインオン

ユーザーのコンピュータネットワークやオペレーティングシステムへのログオンを認証する、

ユーザー ID とパスワードで構成される。 OS サインオンは Access Manager で使用されますが、

Access Manager の外部で作成され、管理されます。ユーザーに OS サインオンと基本サインオ

ンの両方がある場合、最初に OS サインオンが、次に基本サインオンが確認されます。

Access Manager では、 OS サインオンを検索する際、最初にネットワーク ID が調べられます。

ユーザーがネットワークに接続していない場合は、オペレーティングシステム ID が調べられ

ます。

簡易ディレクトリアクセスプロトコル（LDAP）

インターネットまたは企業のイントラネット上で、組織、個人、ファイル、その他のリソースの検索に使用する、製品に依存しないプロトコル。

実働環境で Access Manager を IBM Cognos BI とともに使用するには、認証ソースとして LDAP

ディレクトリサーバーを使用する必要があります。

基本サインオン

Access Manager で作成および管理する、 IBM Cognos アプリケーションによる各ユーザーの識

別に使用するサインオン（ユーザー ID とパスワード）。

「オペレーティングシステム（OS）サインオン」と比較してください。

基本識別名（DN）

ネームスペースの階層情報にアクセスするときに指定する、パスの上位レベルとディレクトリの名前（ルートを含む）。

たとえば次の識別名の基本 DN は、ルートレベル “C” （国）のディレクトリ “CA” （カナダ）

と、組織レベル（O=Cognos）で構成されています。

CN = Cognos Documentation, O = Cognos, C = CA

キューブ

効率的なオンライン分析処理（OLAP ： Online Analytical Processing）をサポートするため、階

層的に構成された多次元情報。 IBM Cognos のビジネス情報ツールでは、 PowerPlay Transformer

で作成されたキューブ（PowerCube）や、サードパーティの各種 OLAP ソースに基づいてレ

ポートを作成できます。キューブは、サポートされている各種リレーショナルデータベース、

LAN フォルダ、またはローカルコンピュータ（標準キューブ）に保存できます。

VM IBM Cognos Series 7 Access Manager

用語集

共通ログオン

Access Manager でユーザーを識別し、データソースへのアクセスを管理するために使用する

ユーザープロンプトのセット。ユーザーには、ログオン情報のプロンプトが 1 回だけ表示さ

れます。

Windows ベースの IBM Cognos 製品では、 Windows 共通ログオンサーバーを使用してこの情報

が記録されます。 Web ベースの IBM Cognos 製品では、 Access Manager Server の Ticket サービ

スで発行したチケットを使用してシングルサインオンを実行します。

ゲストユーザー

サインオン情報を入力せずにデータソースにアクセスできる、名前の付いていないユーザー。

ゲストユーザーを使用可能にすると、名前付きユーザーとゲストユーザーに対し、それぞれ

異なるセキュリティアクセスを設定できます。

ゲストユーザーには、通常、最小限のアクセス権（Upfront のパブリックフォルダへアクセス

するなど）を付与します。また一般に、基本設定の永久的な変更や、保護されたリソースに対する ID やパスワードの変更を行えないユーザークラスに所属します。

ゲストユーザーには、次の事項が適用されます。

- 少なくとも 1 つのユーザークラスに所属していなければならない



ゲストアクセスをサポートする IBM Cognos 製品では、ネームスペースでゲストユーザーを使

用可能にすると、ゲストとしてログインするオプションがユーザーに表示されます。

権限

「使用権限」を参照してください。

限定管理者

「代理管理者」を参照してください。

コレクション

1 つの単位として参照できる、関連する OLE オブジェクトのグループ。コレクションに実行し

た動作は、そのコレクションの全オブジェクトに影響します。

「所有者コレクション」および「参照コレクション」も参照してください。

サインオン

各ユーザーを識別し、ユーザーのリソースへのアクセス管理に使用するユーザー ID とパス

ワード。

参照コレクション

すでに作成されたオブジェクトを参照する、コレクションに依存しないオブジェクトのグループ。

「所有者コレクション」も参照してください。

識別名（DN）

ネームスペースの階層情報にアクセスするときに指定するパス。階層の各レベルには、CommonName （CN）、 OrganizationName （O）、および CountryCode （C）（オプション）という

名前が付けられています。同じレベルに複数のディレクトリが存在できます。

ルートディレクトリがターゲットより先に表示される DOS のパスとは異なり、識別名では、

最下位（ターゲット）のレベルとディレクトリ名が最初に表示され、これに上位の各レベルとディレクトリ名が続き、ルートで終了します。たとえば、セキュリティディレクトリサー

バーのネームスペースにアクセスするときは、次のような DN を使用します。

Access Manager 管理者ガイド =VN

用語集

CN = Cognos Documentation, O = Cognos, C = CA

この場合、ルートレベルは C （国）で、ルートディレクトリは CA （カナダ）です。ターゲッ

トレベルは CN （Common Name）で、ターゲットディレクトリは” Cognos Documentation” で

す。

自動アクセス

パスワードで保護されたキューブ、データベース、またはサーバーに、ログオン情報を入力せずにアクセスできる機能。

使用権限

Access Manager で管理者によって設定され、実行時に付与される、データの作成や変更などの

情報へのアクセス権。

所有者コレクション

コレクションに依存するオブジェクトのグループ。

「参照コレクション」も参照してください。

シングルサインオン

ユーザーが何回もプロンプトに入力しなくても、 1 回ログオンするだけで、複数のデータソー

スにアクセスできるプロセス。この用語は、一般に Web ベースの製品のみに使用され、

Windows 製品では「共通ログオン」という用語が使用されます。

スキーマ

LDAP データベースのオブジェクトクラス（さまざまなオブジェクトのタイプ）と、各オブ

ジェクトクラスの属性の記述。

ディレクトリサーバーを設定する際に、ディレクトリサーバーのスキーマを拡張して Access

Manager の機能が含まれるようにします。

代理管理者

自分より下位レベルの権限を作成および更新できる管理者。たとえば、ディレクトリ管理者（SunONE ディレクトリサーバーではディレクトリマネージャと呼ばれる）は、ディレクトリ

サーバーのディレクトリを管理できます。また、地域担当管理者は、その地域の事業所に所属するユーザーの認証データを管理できます。

多次元キューブファイル（.mdc）

PowerPlay Transformer で PowerCube 設計者が作成する、多次元データを含む IBM Cognos ファ

イル。データベースキューブやサードパーティ製の OLAP ソースと接続するポインタファイ

ルを指す場合もあります。

チケット

管理者が指定した時間だけユーザーが Web ベースの製品を使用できるようにする、ユーザー

権限の記録。チケットは、ユーザーがログオンするたびに作成されます。

ディレクトリサーバー

認証データが保存されている LDAP 準拠のサーバーを表す一般的な用語。 IBM Cognos アプリ

ケーションでは、 SunONE ディレクトリサーバーまたは Active Directory Server を使用してユー

ザーとデータアクセス権を関連付けることができます。

データオブジェクト

個々のデータの保存場所を識別し、アクセスを可能にするオブジェクト。

VO IBM Cognos Series 7 Access Manager

用語集

デフォルトのネームスペース

ネームスペースが設定で指定されていないときに、 Access Manager で実行時に使用するディレ

クトリサーバーのネームスペース。

匿名ユーザー

ログオン画面を使用せずにデータソースにアクセスできる、名前の付いていないユーザー。

匿名ユーザーにはユーザー ID やパスワードの入力を要求できませんが、データソースへのア

クセスや、ユーザークラスの資格を制限することはできます。

匿名ユーザーには、通常、最小限のアクセス権（Upfront のパブリックフォルダへのアクセス

など）を付与します。また一般に、基本設定の永久的な変更や、保護されたリソースに対する

ID やパスワードの変更を行えないユーザークラスに所属します。

匿名ユーザーには、次の事項が適用されます。

少なくとも 1 つのユーザークラスに所属していなければならない

自動アクセスを持つことができる

パブリックユーザークラスに存在することができる

ネームスペースで匿名ユーザーを使用可能にすると、他の IBM Cognos 製品でユーザー ID や

パスワードの入力が要求されなくなります。

ドリルスルー

レポートの値の基礎になっている詳細情報を表示すること。たとえば、特定の顧客に関する販売状況の集計からドリルスルーし、その明細を表示できます。別の IBM Cognos アプリケー

ションで作成された情報にドリルスルーできる場合もあります。

認証

ユーザーをサインオン（ユーザー ID とパスワード）で識別して、ユーザーに必要なアクセス

権があることを確認し、それに応じてアクセスを許可すること。

認証ソース

認証データのソース。現在、 IBM Cognos アプリケーションのほとんどでは、ディレクトリ

サーバーのネームスペースとローカル認証エクスポートファイル（.lae）をサポートしていま

す。

認証データ

ユーザーを識別し、ユーザークラスの権限やユーザーパスワードで保護されたアプリケー

ションサーバーおよびデータソースへのアクセスを許可するために必要なデータ（ユーザー

ID とパスワード）。

ネームスペース

Access Manager で使用される認証データのソース。システムレジストリにおけるデフォルトの

セキュリティサーバー設定に応じて、ディレクトリサーバーのディレクトリ、またはローカ

ル認証エクスポート（.lae）ファイルのエントリとして存在します。

各ネームスペースに保存されているセキュリティデータ（ユーザーのサインオン情報、ユー

ザークラス、アプリケーションサーバー、データソースなど）により、リポジトリの各エン

トリが他のネームスペースすべてから区別されます。

バインド

適切な識別名（DN）とパスワードを入力して、ディレクトリサーバーのディレクトリにアク

セスすること。

Access Manager 管理者ガイド =VP

用語集

パスワードで保護されたデータ

正しいパスワードを入力したユーザーだけがアクセスできる、保護が必要なデータまたは機密データ。

パブリックユーザークラス

ネームスペースの全ユーザーが自動的に属するユーザークラス。このユーザークラスは、他

の IBM Cognos 製品でも利用できます。パブリックユーザークラスに “パブリック” という名

前を付ける必要はありません。

ユーザーは他のユーザークラスに関連付けることができますが、その場合でも常にパブリッ

クユーザークラスのメンバーになります。パブリックユーザークラスには、他のユーザーク

ラスと同じように、プロパティとアクセス権を割り当てることができます。

デフォルトでは、ネームスペースにパブリックユーザークラスは設定されていません。

プロパティ

OLE オートメーションにおける、 OLE オブジェクトに付属し、メモリに保持される一連の値

または特性。オブジェクトのプロパティを使用して、オブジェクト特性の値を設定したり、これらの値にアクセスします。各プロパティでは、サイズ、色、特定の動作（たとえば、コマンドの実行時における画面への表示 /非表示）など、オブジェクト特性の 1 つが定義されます。

オブジェクトの特性を変更するには、そのプロパティの値を変更します。

分散管理

集中管理されたマスターソースからローカルデータを更新する方法。認証データの場合は、

IBM Cognos セキュリティ管理ファイル（.csa）ファイルを使用して、リモートまたはネット

ワーク上のシステムに、更新されたローカル認証エクスポートファイル（.lae）またはディレ

クトリサーバーのネームスペースを供給できます。

メソッド

OLE オートメーションオブジェクトによって実行される、 BASIC に似た言語で定義されたア

クション。オブジェクトメソッドを使用すると、開く、保存するなどの操作をオブジェクト

に実行できます。

ユーザーオブジェクト

製品のユーザーを表すソフトウェアオブジェクト。認証において、ユーザー ID とパスワー

ド、基本サインオンまたはオペレーティングシステム（OS）サインオン、ユーザークラスの

資格、および自動アクセスの割り当てを指定するために使用されます。

ユーザークラスオブジェクト

特定のユーザーグループまたはコミュニティの資格に基づいてアクセスを制御するために、

管理者が組織に対して定義するソフトウェアオブジェクト。ユーザークラスオブジェクト

は、ユーザークラスの名前、ユーザークラスのメンバーがデータにアクセスできる時間、お

よびユーザークラスが Access Manager で実行できる管理の権限を指定します。

ユーザークラスからアクセスできるデータはクライアントアプリケーションで定義されます。

ユーザークラスで保護されたデータ

指定されたユーザークラスのメンバーシップに基づいて許可されたユーザーだけがアクセス

できる、保護が必要なデータまたは機密データ。

ユーザークラスの結合

複数のユーザークラスに属するユーザーが持つ、各ユーザークラスを合わせた権限。ユー

ザークラスの結合をサポートしているアプリケーションでは、ユーザーがログオン時にユー

ザークラスを選択する必要がなく、属する全ユーザークラスの権限が付与されます。

VQ IBM Cognos Series 7 Access Manager

用語集

ユーザークラスビュー

Transformer で、指定されたユーザークラスのメンバーが表示できるカテゴリと数値データ。

通常は、 PowerCube 全体の情報サブセットです。キューブ設計者は、省略されたカテゴリの値

をロールアップ（要約）するか、キューブに基づくレポートから削除するかを指定できます。

ほかの IBM Cognos アプリケーションでは、この用語はより広い意味に使用され、ユーザーク

ラス資格に基づいた特定のデータソースまたはその情報のサブセットへのアクセス権を指し

ます。

ユーザー参照

ユーザーをユーザークラスと関連付ける情報。「ユーザー」および「ユーザークラスオブ

ジェクト」も参照してください。

ルート管理者

ネームスペース全体、およびネームスペースに関連付けられた権限すべてにアクセスできる管理者。ルート管理者はデフォルトで作成され、名前を変更できますが、ネームスペースからは削除できません。

ルートユーザークラス

ネームスペースに対する管理権限をすべて持つユーザークラス。管理者ユーザーは、ルート

ユーザークラスのメンバーです。ルートユーザークラスはデフォルトで作成され、名前を変

更できますが、ネームスペースからは削除できません。

ローカル認証

ローカル認証エクスポートファイル（.lae）またはローカル認証キャッシュ（.lac）ファイルを

使用して、保護されたデータソースへのアクセス権を確認するプロセス。通常、モバイルま

たはスタンドアローンユーザーに使用します。

ローカル認証エクスポートファイル（.lae）

ディレクトリサーバーから独立した Access Manager の認証データソース。次の操作に使用で

きます。

- ネットワークで認証できないスタンドアローンユーザーの認証（Access Manager の設定 )

- ネームスペース間での認証データの転送（Access Manager Administration）

.lae ファイルは、単独のコンピュータ上でローカルに使用できます。ネットワーク上や複数の

ユーザーによる使用はできません。

ローカル認証キャッシュファイル（.lac）

ユーザーが中央のディレクトリサーバーにアクセスするときに各ユーザーのコンピュータに

自動的に作成できる、 Access Manager の個人用認証データソース。 .lac ファイルを使用するこ

とによって、ネットワークに接続していないモバイルユーザーも認証データにアクセスでき

ます。ローカル認証キャッシュファイルは読み取り専用です。

ログオン

保護されたデータソースにアクセスするための認証プロセス（たとえば、基本サインオンの

ユーザー ID とパスワードの入力など）。管理者は、ログオンの試行回数を制限できます。この

回数を超えると、指定したロックアウト期間中、アクセスが拒否されます。

ロックアウト

ユーザーが指定した回数のログオン試行に失敗したため、設定された期間だけログオンを禁止された状態。許容される試行回数とロックアウト期間は、管理者が定義します。

ロックされたネームスペース

停電やその他の予想外の中断によって、ディレクトリサーバーの更新中にアクセスできなく

なったネームスペース。

Access Manager 管理者ガイド =VR

用語集

VS IBM Cognos Series 7 Access Manager

索引

記号.csa ファイル

定義 , 89

デフォルトを設定する , 21

保存する , 21

.lac ファイル

定義 , 95

.lae ファイル , 44

更新する , 39

追加する , 44

定義 , 95

ネームスペースへインポートする , 38, 45

元データと比較する , 39

.ldif ファイル

定義 , 89

.mdc ファイル

定義 , 92

A

Access Manager, 7

IBM Cognos 製品を使用する , 10, 69

NoticeCast を使用する , 74

PowerPlay を使用する , 71

Ticket サービスアクティビティを監査する , 76

Transformer を使用する , 70

Upfront を使用する , 73

監査ログ記録を使用可能にする , 42

コンバータ , 8

コンポーネント , 8

自動化する , 20

代理管理機能 , 59

バッチメンテナンス , 20

Access Manager Server, 8

Access Manager コンポーネント

設定オプション , 12

Access Manager サーバー

定義 , 89

amADUpdate

ユーティリティ , 86

AM_NamespaceCorruptionDetect, 85

ユーティリティ , 85

Authentication サービス

定義 , 89

C

cert7.db ファイル

定義 , 89

Configuration Manager, 9, 12

ディレクトリサーバーの設定 , 8

H

HTTPS, 13

I

IBM Cognos Security Administration ファイル（.csa）

定義 , 89

IBM Cognos 製品

Access Manager, 10, 69

NoticeCast, 74

PowerPlay, 71

PowerPlay Enterprise Server, 72

Transformer, 70

Upfront, 73

認証データ , 11

IBM Cognos セキュリティ管理ファイル（.csa）


保存する , 21

L

LDAP ディレクトリサーバー

アクセスする , 22

LDAP データ交換形式ファイル

定義 , 89

N

Netscape 証明書データベースファイル（.cert7.db）

定義 , 89

NoticeCast

Access Manager を使用する , 74

O

OLAP サーバーデータベース , 62

追加する , 62


Access Manager, 20

定義 , 89

P

PowerPlay


共通ログオン , 71

PowerPlay Web


VT Licensed Materials - Property of IBM


索引

PowerPlay サーバー

追加する , 67

R

REMOTE_USER CGI 環境変数 , 15

S

SDK

信用サインオンプラグイン , 15

Secure Sockets Layer （SSL）のセキュリティ , 13

HTTPS, 13

ディレクトリサーバーで設定する , 24

認証ソースを設定する , 12

SSL のセキュリティ , 13

ディレクトリサーバーで設定する , 24

認証ソースを設定する , 12

Sun Java System Directory Server

設定する , 8

Sun Java System 証明書データベースファイル

SSL を設定する , 12, 24

T

Ticket サービス , 74

監査する , 76

定義 , 90

Transformer


Transformer サーバー

自動アクセス , 66

追加する , 65

U

Upfront


ユーザーアクセス , 54

ユーザーの権限 , 54

W

Web 製品

ユーザーアクセスを定義する , 54

Windows NT チャレンジ / レスポンス , 16

Windows 共通ログオンサーバー , 15

定義 , 90

ユーザークラス , 71

あアクセス

サーバー , 52

データソース , 52

ユーザー , 52


アップグレードする

新しいスキーマバージョンのネームスペース , 40

い移動する


インポートする

ローカル認証エクスポートファイル（.lae） , 38, 45

えエクスポートする

ネームスペース , 37, 38

お大文字と小文字の区別

基本サインオン , 32

パスワード , 34

オブジェクト

定義 , 90

オペレーティングシステム

Windows, 16

オペレーティングシステム（OS）サインオン , 15

作成する , 49

定義 , 90

か開始時間

ユーザークラスのアクセス , 58

階層構造にする


外部ユーザー , 41

再リンクする , 55

リンクする , 55

外部ユーザーサポート

Microsoft Active Directory を更新する , 86

簡易ディレクトリアクセスプロトコル（LDAP）

定義 , 90

環境変数REMOTE_USER CGI, 15

監査する

Ticket サービスアクティビティ , 76

セキュリティ管理 , 42

管理

ネームスペースの管理者を追加する , 30

き期限切れのパスワード , 34

基本サインオン , 14

定義 , 91

プロパティを設定する , 32

旧式ネームスペース , 39

キューブ

アクセス , 52


追加する , 64

定義 , 90


PowerPlay, 71

VU IBM Cognos Series 7 Access Manager

索引

共通ログオン ...

定義 , 91

けゲストユーザー , 17

削除する , 79

定義 , 91

ネームスペースへのアクセスを設定する , 32

権限

定義 , 91


ユーザークラスに設定する , 59

言語を設定する

ユーザー , 54

検索する


限定管理者

定義 , 91

こ更新する


ローカル認証エクスポートファイル（.lae） , 39

コレクション

定義 , 91

コンポーネントAccess Manager, 8

さサードパーティー製キューブ

サインオン , 19

サーバー

PowerPlay サーバー , 65

Transformer サーバー , 65

Windows 共通ログオン , 8

アクセス , 52


接続する , 18

設定する , 65

追加する , 65, 67

再リンクする


サインオン

Access Manager 外部での管理 , 15

オペレーティングシステム（OS） , 15

外部 , 15

基本 , 14

ゲストユーザー , 17

サードパーティー製キューブ , 19

シングル , 15

信用 , 15

設定方式 , 13

定義 , 91

匿名ユーザー , 17

プロパティ , 32

保護されたキューブ , 19

サインオン ...

保護されたデータベース , 18

ユーザー , 49

削除する

トラブルシューティング , 79

ユーザー , 48


作成する

ネームスペース , 26

ユーザー , 48



し資格


時間


時間を設定する

ユーザー , 54

識別する

ユーザー , 13

識別名（DN）

定義 , 91

実行時の構成 , 12

自動アクセス


キューブ , 19

サードパーティー製キューブ , 19

データベース , 18, 63

データベースキューブ , 63

ユーザー , 52

利用効果 , 9

自動化するAccess Manager, 20

終了時間


使用可能にする

外部ユーザーサポート , 41

シングルサインオン , 15

定義 , 92

信用サービスプラグイン SDK, 9

信用サインオン , 15

すスキーマ

新しいスキーマバージョンへアップグレードする , 40

定義 , 92

せセキュリティ

Access Manager, 9

IBM Cognos 製品に適用する , 10, 69

Secure Sockets Layer （SSL） , 24

Windows, 16

Windows NT, 16

Access Manager 管理者ガイド =VV

索引

セキュリティ ...


サインオン方式 , 13


パスワード , 9, 49

ユーザークラス , 9, 18

接続するPowerPlay Enterprise Server, 18


ディレクトリサーバー , 22

設定オプション、 Access Manager コンポーネント , 12

設定する

Secure Sockets Layer （SSL） , 13, 24

製品間のセキュリティ , 69


認証ソース , 9, 12


ネームスペースの基本サインオン , 32


そソートする


ソフトウェア開発キット

信用サインオンプラグイン , 15

た代理管理機能

Access Manager, 59

代理管理者

定義 , 92

多次元キューブファイル（.mdc）

定義 , 92

ちチケット

定義 , 92

チャレンジ / レスポンス , 16

著作権 , 2

つ追加する

IBM Cognos 製品のセキュリティ , 69

キューブ , 64

サーバー , 65, 67

ディレクトリサーバーの接続情報 , 22

データベース , 61, 62

データベースキューブ , 64


ユーザー , 48



てディレクトリサーバー

SSL の設定 , 24

Sun Java System, 8


接続情報 , 22

接続情報をテストする , 24

接続情報を変更する , 23

定義 , 92


認証データを転送する , 38

認証データを保存する , 22


ネームスペースをマージする , 38

ディレクトリサーバーの接続情報

テストする , 22, 23, 24

変更する , 23

ディレクトリサーバーのネームスペース


管理者を追加する , 30

作成する , 26

マージする , 38

データオブジェクト

定義 , 92

データソース

アクセス , 52

設定する , 61

データベース

アクセス , 52

自動アクセス , 18, 63

追加する , 61, 62

データベースキューブ

アクセス , 52


追加する , 64

データベース内キューブ

追加する , 64

テストする

ディレクトリサーバーの接続情報 , 22, 23, 24



デフォルト

IBM Cognos セキュリティ管理ファイル（.csa） , 21



デフォルトのネームスペース

定義 , 93

転送する

ネームスペースの情報 , 38

と統合 Windows 認証 , 16

匿名ユーザー , 17

削除する , 79

ネームスペースにアクセスする , 31

NMM IBM Cognos Series 7 Access Manager

索引

トラブルシューティング

SSL 用に設定されたディレクトリサーバーに接続する ,

80

切り取りコマンド , 80

コピーコマンド , 80


ネームスペースをマージする , 79

保護されたリソースを開く , 79

ユーザークラスを削除する , 79

ユーザーを削除する , 79

ログオンする , 79

ドリルスルー

定義 , 93

な名前付きユーザー , 17

に認証する

定義 , 93

認証ソース

接続情報を保存する , 21

設定する , 12

定義 , 93

ディレクトリサーバーのネームスペース , 21

ローカル認証エクスポートファイル（.lae） , 21, 43

認証データ

IBM Cognos 製品 , 69

IBM Cognoss 製品 , 11

移動する , 38

検索する , 67

ソートする , 68

定義 , 93

ディレクトリサーバーへ保存する , 22

テストする , 69

認証データをマージする , 37, 45

ねネームスペース , 14

新しいスキーマバージョンへアップグレードする , 40

概要 , 30

管理者を追加する , 30

旧式 , 39

ゲストユーザー , 32

サーバー接続のトラブルシューティング , 24


情報を転送する , 38

設定する , 14, 26

説明する , 30

地域の設定 , 35

追加する , 26

定義 , 93

デフォルト , 36

匿名アクセス , 31

閉じる , 28

ネームスペース ...

名前の最小文字数 , 32

パスワード , 34

破損検出ユーティリティ , 85

破損したネームスペースを検出する , 41

開く , 28, 29

複数のネームスペースに属するユーザー , 14

マージする , 37, 38, 45

レポートユーティリティ , 83

レポートを生成する , 83

ローカル認証エクスポートファイル（.lae）をインポー

トする , 45

ローカル認証エクスポートファイル（.lae）からアップ

グレードする , 45

ローカル認証エクスポートファイル（.lae）と比較する ,

39

ローカル認証エクスポートファイル（.lae）へエクス

ポートする , 37, 38

ネームスペースをマージする

ディレクトリサーバー間でネームスペースを転送する ,

38

ネームスペースをエクスポートする , 37

ローカル認証エクスポートファイル（.lae）をインポー

トする , 45

はバインド

定義 , 93

パスワード

大文字と小文字の区別 , 34

期限 , 34

最小文字数を設定する , 34

プロパティを設定する , 34

有効期間 , 34

利用効果 , 9

パスワードで保護されたデータ

定義 , 94

パスワードの有効期間 , 34

破損


バッチコマンド処理 , 20

バッチメンテナンス , 20

パブリックユーザークラス , 18

削除する , 79

設定する , 57

定義 , 94

ひ日


表示する

ユーザークラスに属するユーザー , 53, 60

ユーザーのアクセス権 , 53

開く


Access Manager 管理者ガイド =NMN

索引

ふファイルタイプ

cert7.db ファイル , 89

IBM Cognos Security Administration ファイル（.csa） , 89

LDAP データ交換形式ファイル（.ldif） , 89

多次元キューブファイル（.mdc） , 92


ローカル認証キャッシュファイル（.lac） , 95

プラグイン

信用サインオン , 15

プロパティ

サインオンを設定する , 32

定義 , 94


分散管理

定義 , 94

へ変更する


変数

REMOTE_USER CGI 環境 , 15

ほ保護されたキューブ


保護されたデータベース


保存する

IBM Cognos セキュリティ管理ファイル（.csa） , 21

認証ソースの接続情報 , 21

まマニュアルのバージョン , 2

めメソッド

定義 , 94

ゆユーザー

Access Manager 外部のサインオンの管理 , 15

OS サインオン , 49

ゲスト , 17


削除する , 48

識別する , 13


設定する , 47

設定方式 , 17

タイプ , 17

追加する , 48

定義 , 94

匿名 , 17

ユーザー ...

複数のネームスペース , 14

複数のユーザークラス , 51

無効にする , 48

ユーザークラスに表示する , 53, 60

ユーザークラスの資格 , 51

ユーザークラスへ割り当てる , 51

名前付き , 17


アクセス時間 , 58

アクセス日 , 58

階層構造にする , 57

権限 , 19

権限を設定する , 59

削除する , 57

設定する , 18, 56

追加する , 57

定義 , 94

テストする , 69

パブリック , 57

プロパティ , 19

変更のログを記録する , 42

ユーザーへ割り当てる , 51

ユーザーを表示する , 53, 60

利用効果 , 9

ユーザークラスで保護されたデータ

定義 , 94

ユーザークラスの結合

定義 , 94

ユーザークラスの権限を設定する , 59

ユーザークラスビュー

定義 , 95

ユーザー参照

定義 , 95

ユーティリティamADUpdate, 86

Microsoft Active Directory を更新する , 86

ネームスペースの破損を検出する , 85

ネームスペースレポート , 83

よ用語集 , 89

りリモートユーザー


リンクする


るルート管理者

定義 , 95

ルートユーザー

追加する , 30


NMO IBM Cognos Series 7 Access Manager

索引

ルートユーザークラス

削除する , 79

定義 , 95

れレポート

ユーザー , 83


ろローカル認証

定義 , 95

ローカル認証エクスポートファイル（.lae）

更新する , 39

追加する , 44

ネームスペースへインポートする , 38, 45


元データと比較する , 39

定義 , 95

ローカル認証キャッシュファイル（.lac） , 69

定義 , 95

ログオン

定義 , 95

ログオンする , 28

その他のユーザー , 29

ディレクトリサーバーのネームスペース , 28

ログに記録する

ユーザークラスの変更 , 42

ロックアウト

定義 , 95

ロックされたネームスペース

定義 , 95

わ割り当てる

ユーザークラスに属するユーザー , 51

Access Manager 管理者ガイド =NMP

索引

NMQ IBM Cognos Series 7 Access Manager

IBM Cognos Business Intelligence Series 7 IBM Cognos...

Documents

Transcript of IBM Cognos Business Intelligence Series 7 IBM Cognos...