O r a c l e ( R ) H y p e r i o n E n t e r p r i s e P e r f o r m a n c e

M a n a g e m e n t S y s t e mリリース 1 1 . 1 . 1 . 3

S S L 構成ガイド

EPM System SSL 構成ガイド, 11.1.1.3

Copyright © 2006, 2009, Oracle and/or its affiliates.All rights reserved.

著者: EPM Information Development Team

このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。

ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。

このソフトウェアまたは関連ドキュメントが、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供される場合は、次の Notice が適用されま

す。U.S. GOVERNMENT RIGHTS: Programs, software, databases, and related documentation and technical data

delivered to U.S. Government customers are "commercial computer software" or "commercial technical data"

pursuant to the applicable Federal Acquisition Regulation and agency-specific supplemental regulations. As such, the

use, duplication, disclosure, modification, and adaptation shall be subject to the restrictions and license terms set

forth in the applicable Government contract, and, to the extent applicable by the terms of the Government contract,

the additional rights set forth in FAR 52.227-19, Commercial Computer Software License (December 2007). Oracle

USA, Inc., 500 Oracle Parkway, Redwood City, CA 94065.

このソフトウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーショ

ンを含む)への用途を目的として開発されていません。このソフトウェアを危険が伴うアプリケーション

で使用する際、このソフトウェアを安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアを危険が伴うア

プリケーションで使用したことに起因して損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。

このソフトウェアおよびドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。オラクル社およびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても、一切の責任を負いかねます。

目次

第 1 章 前提条件と情報ソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

情報ソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

アプリケーション・サーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

Web サーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

ユーザー・ディレクトリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

第 2 章 SSL および EPM System 製品 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Oracle の EPM System 製品の SSL 使用可能化について . . . . . . . . . . . . . . . . . . . . . 9

SSL の要点の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

安全な配置トポロジのサンプル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

セキュリティ保護可能な EPM System 接続 . . . . . . . . . . . . . . . . . . . . . . . . . . 11

必須の証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

共通の操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

必須の証明書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

CA からの証明書の取得および使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

場所のリファレンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

EPM System 製品のインストールと配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

第 3 章 SSL 用 EPM System の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Shared Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Oracle Application Server での Shared Services の SSL 使用可能化 . . . . . . . . . . 23

WebLogic での Shared Services の SSL 使用可能化 . . . . . . . . . . . . . . . . . . . . . . 24

WebSphere での Shared Services の SSL 使用可能化 . . . . . . . . . . . . . . . . . . . . . 24

Tomcat での Shared Services の SSL 使用可能化 . . . . . . . . . . . . . . . . . . . . . . . 25

WebSphere と LDAPS 使用可能ユーザー・ディレクトリ . . . . . . . . . . . . . . . . 27

署名者証明書のインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Shared Services への署名者証明書キーストアの移行 . . . . . . . . . . . . . . . . 27

EPM System Web アプリケーションの SSL 使用可能化 . . . . . . . . . . . . . . . . . . . . 27

全般手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Foundation Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

EPM Workspace サービスの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

目次 iii

Tomcat での Smart Space . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Performance Management Architect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Essbase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Essbase サーバー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Administration Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Administration Services クライアント . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Financial Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33

Reporting and Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Web Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

Financial Reporting コンポーネント間の RMI 通信の暗号化 . . . . . . . . . . 34

FDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

第 4 章 EPM System の Web サーバーの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Oracle HTTP Server を使用する EPM System の構成 . . . . . . . . . . . . . . . . . . . . . . . 37

Apache を使用する EPM System の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Apache と Oracle Application Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Apache と WebLogic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

Apache と Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

Apache と WebSphere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

IIS を使用する EPM System の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

IIS と Oracle Application Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

IIS と WebLogic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

IIS と Tomcat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

IIS と WebSphere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

Shared Services への IIS プロキシ URL の登録 . . . . . . . . . . . . . . . . . . . . . . . . 43

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

iv 目次

1前提条件と情報ソース

この章の内容

概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

情報ソース. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6

概要このドキュメントでは、セキュア・ソケット・レイヤー(SSL)使用可能の環境に

Oracle Hyperion Enterprise Performance Management System を配置する方法について

説明します。SSL とは、ネットワーク上での安全なデータ交換に使用される暗号

プロトコルのことです。

このドキュメントで使用する手順は、EPM System 製品との通信をセキュリティ保

護するために各自の Web 環境で SSL を使用するユーザー向けに設計されていま

す。

前提条件l 次を SSL 使用可能にする方法について理解していることとします:

m アプリケーション・サーバー: Oracle Application Server、WebLogic、Apache

Tomcat および IBM WebSphere

m Web サーバー: Oracle HTTP Server、Apache、IBM HTTP サーバー (IHS)、

Microsoft Internet Information Services (IIS)

m ユーザー・ディレクトリ: Oracle Internet Directory、Microsoft Active Directory

(MSAD)、Sun ONE Directory Server、Novell eDirectory

外部ユーザー・ディレクトリのほかに、EPM System アプリケーションで

は、Oracle Internet Directory または OpenLDAP をネイティブ・ディレクト

リとして使用します。Oracle Internet Directory と OpenLDAP は、SSL 使用

可能にできます。

配置環境を SSL 使用可能にする際に利用できる参照ドキュメントのリストに

ついては、6 ページの「情報ソース」を参照してください。

l 配置トポロジを決定し、SSL を使用してセキュリティ保護する通信リンクを特

定しているものとします。Web サーバーを SSL 使用可能にする場合は、アプ

リケーション・サーバーも SSL 使用可能にする必要があることに注意してく

ださい。EPM System 製品では、SSL オフロードをサポートしていません。

概要 5

l よく知られている証明機関(CA)または独自の CA から必要な証明書を取得して

いるか、自己署名証明書を作成しているものとします。18 ページの「必須の

証明書」を参照してください。Web サーバー、アプリケーション・サーバー、

およびユーザー・ディレクトリの証明書を取得する必要があります。EPM

System 製品をホストする各サーバーには、個別に証明書が必要です。

情報ソースl 6 ページの「アプリケーション・サーバー」

l 6 ページの「Web サーバー」

l 7 ページの「ユーザー・ディレクトリ」

アプリケーション・サーバーSSL 用にアプリケーション・サーバーを構成する方法については、アプリケーショ

ン・サーバー・ベンダーのドキュメントを参照してください。アプリケーション・

サーバーを SSL 使用可能にする場合は、次のリソースが開始点となります。

l Oracle Application Server: 『Oracle Application Server 管理者ガイド』のパート IV

のセキュア・ソケット・レイヤーに関する説明を参照してください。

l WebLogic 9.2: Securing WebLogic Server Guide の SSL の構成に関する説明を参照

してください。

l WebSphere 6.1.x: Installing the Solution Guide の WebSphere アプリケーション・

サーバーの SSL の構成に関する説明を参照してください。

l Tomcat: Apache Tomcat 5.5 Servlet/JSP Container User Guide の SSL の構成手引に

関する説明を参照してください。

Web サーバー

SSL 用に Web サーバーを構成する方法の詳細は、Web サーバー・ベンダーのド

キュメントを参照してください。

l Oracle HTTP Server: 『Oracle HTTP Server 管理者ガイド』の次のトピックを参

照してください:

m セキュリティの管理に関する説明

m Oracle HTTP Server の SSL の使用可能化に関する説明

Oracle HTTP Server 以外の Web サーバー(Apache、IIS、Sun ONE など)を Oracle

Application Server と併用する場合は、『Oracle HTTP Server 管理者ガイド』の

Oracle Containers for J2EE プラグインの使用方法に関する説明を参照してくだ

さい。

注： Oracle Application Server のリバース・プロキシとして IIS を使用するとき

に使用される Oracle の IIS プロキシ DLL では、SSL はサポートされない

ので、IIS Web サーバーと他の Web サーバー間の通信は暗号化されませ

6 前提条件と情報ソース

ん。『Oracle HTTP Server 管理者ガイド』の OracleAS プロキシ・プラグイ

ンを使用するための IIS リスナーの構成に関する説明を参照してくださ

い。たとえば、Oracle Enterprise Performance Management Workspace,

Fusion Edition が、Oracle Application Server 上に IIS HTTP サーバーととも

に配置され、Oracle Hyperion Financial Management, Fusion Edition は、別

の IIS インスタンスに配置されているとします。このような場合は、2

つの IIS インスタンス間の通信を SSL 使用可能にできません。この問題

は、1 つの IIS インスタンスを使用してすべての EPM System 製品をホス

トするようにすれば解決できます。

l SSL 用に IIS を構成する方法については、http://support.microsoft.com/kb/299875/

を参照してください。

l SSL 用に Apache HTTP サーバーを構成する方法については、http://

httpd.apache.org/ docs/2.0/ssl/を参照してください。

l IHS は、初期状態で SSL をサポートします。自己署名証明書には、鍵管理ユー

ティリティ(iKeyman)を使用します。

m IHS 1.3: http://www-306.ibm.com/software/webservers/httpservers/doc/v1326/

manual/ibm/9atikeyu.htm を参照してください。

m IHS 6.0: http://publib.boulder.ibm.com/infocenter/wasinfo/v6r0/index.jsp?

topic=/com.ibm.websphere.nd.multiplatform.doc/info/ae/ae/tsec_keytu.html を

参照してください。

ユーザー・ディレクトリ詳細は、ユーザー・ディレクトリ・ベンダーのドキュメントを参照してください。

次のリンクが役に立ちます:

l Oracle Internet Directory: 『Oracle Internet Directory 管理者ガイド』を参照して

ください。

l Oracle Virtual Directory: 『Oracle Virtual Directory 製品マニュアル』を参照して

ください。

l Sun ONE Directory Server: Sun ONE Directory Server Administration Guide のセキュ

リティの実装に関する説明を参照してください。

l Microsoft Active Directory: Microsoft Windows Server 2003 Active Directory のドキュ

メントを参照してください。

l Novell eDirectory: Novell eDirectory のドキュメントを参照してください。

情報ソース 7

8 前提条件と情報ソース

2SSLおよびEPM System製品

この章の内容

Oracle の EPM System 製品の SSL 使用可能化について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

SSL の要点の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

共通の操作. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

場所のリファレンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

EPM System 製品のインストールと配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Oracle の EPM System 製品の SSL 使用可能化についてEPM System 配置プロセスでは、Oracle の EPM System 製品は SSL モードと非 SSL

モードで自動的に配置されます。たとえば、デフォルトの配置では、Oracle

Hyperion(R) Shared Services は、ポート 28080 (非 SSL モード)および 28083 (SSL モー

ド)に配置されます。SSL ポートは、非 SSL ポート番号に 3 を足して決定されます。

Shared Services を配置する間に、EPM System 全体で SSL を使用するかどうかを指

定する必要があります。

注意 Shared Services を SSL 使用可能にすることにした場合は、Oracle Hyperion

Shared Services レジストリを共有するすべての製品に対して SSL モードが

自動的に選択されます。

SSL を使用可能にするために Oracle Hyperion Enterprise Performance Management

System コンフィグレータで通信用 SSL の使用可能化チェック・ボックスを選択し

ても、各自の環境が SSL を使用するよう構成されることはありません。この操作

では、Shared Services レジストリでフラグが設定されるだけです。このフラグは、

リポジトリを使用するすべての EPM System 製品で通信用の安全なプロトコル

(HTTPS)を使用する必要があることを示します。各自の環境を SSL 使用可能にす

るには、さらに手順を実行する必要があります。このドキュメントでは、こうし

た手順について説明します。

SSL の要点の確認ここでは、Oracle の EPM System 製品向けに確立できる安全な接続のダイアグラム

を示します。このダイアグラムでは、非 SSL 通信リンクは示されていません。SSL

通信をサポートしない Oracle の EPM System 製品は、このダイアグラムに含まれ

ていません。

Oracle の EPM System 製品の SSL 使用可能化について 9

安全な配置トポロジのサンプルここでは、EPM System 製品の間で確立できる SSL 通信リンクのサンプル配置トポ

ロジを示します。

注意 図示されたトポロジは、情報提供のみを目的とするもので、推奨の配置ト

ポロジではありません。

注： Oracle Application Server インスタンスに配置されたアプリケーションに送信

される要求は、Web サーバーによって受信されます。デフォルトでは、Oracle

HTTP Server は、Oracle Application Server のインストール時に構成されます。

この Web サーバーは、セキュア HTTP 要求を受信するよう構成できます。

LDAP 使用可能のユーザー・ディレクトリ(Oracle Internet Directory、MSAD、Sun

ONE Directory Server など)への接続は、LDAPS を使用してセキュリティで保護で

きます。

10 SSL および EPM System 製品

セキュリティ保護可能な EPM System 接続

ここでは、セキュリティ保護できる EPM System 接続のリストを示します。このリ

ストに、すべての EPM System 接続が揃っているわけではありません。

表 1 SSL 使用可能にできる Foundation Services 接続

ソース 宛先 プロトコル サーバー間*

Shared Services

ブラウザ Shared Services Web ア

プリケーション

HTTP/HTTPS いいえ

ブラウザ Web サーバー HTTP/HTTPS いいえ

Web サーバー Shared Services Web ア

プリケーション

HTTP/HTTPS または

AJP†はい

Shared Services Web ア

プリケーション

Shared Services に登録

されたアプリケーション

HTTP/HTTPS はい

Shared Services Web ア

プリケーション

ユーザー・ディレクトリ(ネイティブ・

ディレクトリおよび外部ユーザー・ディレクトリ)

LDAP/LDAPS はい

Oracle EnterprisePerformanceManagement System ラ

イフサイクル管理ユーティリティ

Shared Services Web ア

プリケーション

HTTP/HTTPS いいえ

Oracle EnterprisePerformanceManagement System ラ

イフサイクル管理ユーティリティ

ユーザー・ディレクトリ(ネイティブ・

ディレクトリおよび外部ユーザー・ディレクトリ)

LDAP/LDAPS いいえ

Oracle EnterprisePerformanceManagement System ラ

イフサイクル管理ユーティリティ

EPM System 製品 WebアプリケーションとWeb サーバー

HTTP/HTTPS いいえ

EPM Workspace

ブラウザ Web サーバー HTTP/HTTPS いいえ

EPM Workspace Webサーバー

EPM Workspace Web ア

プリケーション

HTTP/HTTPS はい

EPM Workspace Web ア

プリケーション

ユーザー・ディレクトリ(ネイティブ・

ディレクトリおよび外部ユーザー・ディレクトリ)‡

LDAP/LDAPS はい

SSL の要点の確認 11

ソース 宛先 プロトコル サーバー間*

EPM Workspace サービ

ス

ユーザー・ディレクトリ(ネイティブ・

ディレクトリおよび外部ユーザー・ディレクトリ)

LDAP/LDAPS はい

EPM Workspace サービ

ス

Shared Services Web ア

プリケーション

HTTP/HTTPS はい

Oracle Hyperion Smart View for Office, Fusion Edition

Smart View クライアン

ト

Financial Managementプロバイダ

HTTP/HTTPS いいえ

Smart View クライアン

ト

Oracle Hyperion ProviderServices

HTTP/HTTPS いいえ

Smart View クライアン

ト

Oracle Hyperion Planning,Fusion Edition プロバイ

ダ

HTTP/HTTPS いいえ

Smart View クライアン

ト

Oracle HyperionReporting and Analysis

HTTP/HTTPS いいえ

Smart View クライアン

ト

Shared Services Web ア

プリケーション

HTTP/HTTPS いいえ

Smart View クライアン

ト

Oracle Hyperion(R)Enterprise(R)

HTTP/HTTPS いいえ

Oracle Hyperion EPM Architect, Fusion Edition

PerformanceManagement ArchitectWeb サーバー

次元サーバー Webサービス

HTTP/HTTPS はい

PerformanceManagement ArchitectWeb サーバー

データの同期 Webサービス

HTTP/HTTPS はい

ブラウザ PerformanceManagement ArchitectWeb サーバー

HTTP/HTTPS いいえ

PerformanceManagement ArchitectWeb サーバー

Shared Services Web ア

プリケーション

HTTP/HTTPS はい

PerformanceManagement ArchitectWeb サーバー

ユーザー・ディレクトリ(ネイティブ・

ディレクトリおよび外部ユーザー・ディレクトリ)

LDAP/LDAPS はい

PerformanceManagement ArchitectWeb サーバー

Planning Web アプリ

ケーション

HTTP/HTTPS はい

12 SSL および EPM System 製品

ソース 宛先 プロトコル サーバー間*

PerformanceManagement ArchitectWeb サーバー

Financial ManagementWeb アプリケーショ

ン

HTTP/HTTPS はい

PerformanceManagement ArchitectWeb サーバー

Oracle HyperionProfitability and CostManagement, FusionEdition Web アプリ

ケーション

HTTP/HTTPS はい

PerformanceManagement ArchitectWeb サーバー

Oracle EssbaseAdministration Services

HTTP/HTTPS はい

PerformanceManagement ArchitectWeb サーバー

Oracle Essbase Studio HTTP/HTTPS はい

バッチ・クライアント

EPM Workspace Web ア

プリケーション

HTTP/HTTPS いいえ

ファイル・エクスポート・ツール

Financial ManagementWeb アプリケーショ

ン

HTTP/HTTPS いいえ

データの同期サーバー

PerformanceManagement ArchitectWeb サーバー

HTTP/HTTPS はい

データの同期サーバー

Planning Web アプリ

ケーション

HTTP/HTTPS はい

PerformanceManagement Architect次元サーバー

Shared Services Web ア

プリケーション

HTTP/HTTPS はい

PerformanceManagement Architect次元サーバー

ユーザー・ディレクトリ(ネイティブ・

ディレクトリおよび外部ユーザー・ディレクトリ)

LDAP/LDAPS はい

バッチ・クライアント

PerformanceManagement ArchitectWeb サーバー

HTTP/HTTPS いいえ

バッチ・クライアント

PerformanceManagement Architect次元サーバー Webサービス

HTTP/HTTPS いいえ

ファイル・エクスポート・ツール

Planning Web アプリ

ケーション

HTTP/HTTPS いいえ

ファイル・エクスポート・ツール

PerformanceManagement Architect次元サーバー Webサービス

HTTP/HTTPS いいえ

SSL の要点の確認 13

ソース 宛先 プロトコル サーバー間*

Hyperion Calculation Manager

ブラウザ Hyperion CalculationManager サーバー

HTTP/HTTPS いいえ

Oracle Smart Space, Fusion Edition クライアント

Smart Space クライア

ント

Oracle BusinessIntelligence EnterpriseEdition Analytics

HTTP/HTTPS はい

Smart Space クライア

ント

Oracle BusinessIntelligence Publisher

HTTP/HTTPS はい

Smart Space クライア

ント

Reporting and AnalysisWeb サービス

HTTP/HTTPS いいえ

Smart Space クライア

ント

Smart Space サーバー HTTP/HTTPS いいえ

Smart Space クライア

ント

Collaborator 管理コン

ソール

HTTP/HTTPS いいえ

Smart Space サーバー

認証 Web サービス ユーザー・ディレクトリ(ネイティブ・

ディレクトリおよび外部ユーザー・ディレクトリ)

LDAP/LDAPS はい

認証 Web サービス Shared Services Web ア

プリケーション

HTTP/HTTPS はい

Analytics Web サービス Provider Services HTTP/HTTPS はい

*サーバー間通信用の信頼できるサードパーティ CA を使用していない場合は、送信元サーバー・キーストアに CA証明書をインポートする必要があります。†AJP の実装は、プラットフォーム固有です。

‡ポートレットを使用する場合にのみ使用されます。ポートレットを使用しない場合、EPM Workspace プロセスは

ユーザー・ディレクトリに直接接続しません。

表 2 SSL 使用可能にできる Essbase 接続

ソース 宛先 プロトコル サーバー間*

Provider Services Web ア

プリケーション

BPM サーバー HTTP/HTTPS はい

Provider Services クライ

アント

Provider Services Web ア

プリケーション

HTTP/HTTPS いいえ

Essbase Studio Excel アドイン

Essbase Studio サー

バー

HTTP/HTTPS いいえ

Administration Services PerformanceManagement ArchitectWeb サーバー

HTTP/HTTPS はい

14 SSL および EPM System 製品

ソース 宛先 プロトコル サーバー間*

Oracle Essbase Studio PerformanceManagement ArchitectWeb サーバー

HTTP/HTTPS はい

*サーバー間通信用の信頼できるサードパーティ CA を使用していない場合は、送信元サーバー・キーストアに CA証明書をインポートする必要があります。

表 3 SSL 使用可能にできる Reporting and Analysis 接続

ソース 宛先 プロトコル サーバー間*

Oracle Hyperion FinancialReporting, Fusion Editionサーバー

Provider Services HTTP/HTTPS/TCPIP はい

Financial ReportingStudio

Provider Services HTTP/HTTPS/TCPIP いいえ

Financial ReportingStudio

関連コンテンツ・プロバイダ†

HTTP/HTTPS いいえ

Financial ReportingStudio

EPM Workspace Webサーバー‡

HTTP/HTTPS いいえ

Financial ReportingStudio

Shared Services Web ア

プリケーション

HTTP/HTTPS いいえ

EPM Workspace Webサーバー

Financial Reporting Webアプリケーション

HTTP/HTTPS/AJPd はい

Financial Reporting Webアプリケーション

EPM Workspace Webサーバー

HTTP/HTTPS はい

Financial Reporting Webアプリケーション

Provider Services HTTP/HTTPS/TCPIP はい

Financial Reporting Webアプリケーション

関連コンテンツ・プロバイダ

HTTP/HTTPS はい

Financial Reporting Webアプリケーション

Shared Services Web ア

プリケーション

HTTP/HTTPS はい

Financial Reporting Webアプリケーション

Provider Services Webサーバー

HTTP/HTTPS はい

Financial Reporting スケ

ジューラ

Web サーバー(EPMWorkspace および

Financial Reporting 用)

HTTP/HTTPS はい

Financial Reporting スケ

ジューラ

Provider Services Webサーバー

HTTP/TCPIP はい

Oracle Hyperion(R) WebAnalysis Studio

EPM Workspace Webサーバー

HTTP/HTTPS いいえ

Oracle Hyperion(R) WebAnalysis Studio

Shared Services Web ア

プリケーション

HTTP/HTTPS はい

SSL の要点の確認 15

ソース 宛先 プロトコル サーバー間*

EPM Workspace Webサーバー

Oracle Hyperion(R) WebAnalysis Web アプリ

ケーション

HTTP/HTTPS または

AJPeいいえ

Web Analysis Web アプ

リケーション

Shared Services Web ア

プリケーション fHTTP/HTTPS はい

Web Analysis Web アプ

リケーション

ユーザー・ディレクトリ(ネイティブ・

ディレクトリおよび外部ユーザー・ディレクトリ)

LDAP/LDAPS はい

Web Analysis Web アプ

リケーション

Provider Services HTTP/HTTPS はい

Web Analysis Web アプ

リケーション

EPM Workspace Webサーバー g

HTTP/HTTPS はい

*サーバー間通信用の信頼できるサードパーティ CA を使用していない場合は、送信元サーバー・キーストアに CA証明書をインポートする必要があります。†関連コンテンツ・プロバイダとは、Planning および EPM Workspace のようなアプリケーションのことです。

‡HTML エクスポートの場合。

dAJP の実装は、プラットフォーム固有です。

eAJP の実装は、プラットフォーム固有です。

f 関連コンテンツの場合g 関連コンテンツの場合

注： 複数の IP アドレスまたはサーバー名を持つ Financial Reporting サーバー・コ

ンピュータを使用する場合は、Financial Reporting に戻されるサーバー名を

特定できます。すべてのレポート・サービスで、JVMOptionx ----> -

Djava.rmi.server.hostname=および JVMOptiony ----> -

Djava.rmi.server.useLocalHostname=falseのレジストリ・キーを追加

し、jvmoptioncountを増分します。

表 4 SSL 使用可能にできる Planning 接続

ソース 宛先 プロトコル サーバー間*

ブラウザ EPM Workspace Webサーバー†

HTTP/HTTPS いいえ

Planning Web アプリ

ケーション

Shared Services Web ア

プリケーション

HTTP/HTTPS はい

Planning Web アプリ

ケーション

ユーザー・ディレクトリ(ネイティブ・

ディレクトリおよび外部ユーザー・ディレクトリ)

LDAP/LDAPS はい

Planning Web アプリ

ケーション

PerformanceManagement ArchitectWeb サーバー

HTTP/HTTPS はい

16 SSL および EPM System 製品

ソース 宛先 プロトコル サーバー間*

Administration Servicesコンソール(OracleHyperion(R) BusinessRules 用)‡

Administration ServicesWeb アプリケーショ

ン

HTTP/HTTPS はい

*サーバー間通信用の信頼できるサードパーティ CA を使用していない場合は、送信元サーバー・キーストアに CA証明書をインポートする必要があります。†Planning には、EPM Workspace Web サーバーを介してアクセスします。

‡ビジネス・ルールは、Administration Services コンソールで設計されます。

表 5 SSL 使用可能にできる Financial Management 接続

ソース 宛先 プロトコル サーバー間*

ブラウザ EPM Workspace Webサーバー †

HTTP/HTTPS いいえ

EPM Workspace Webサーバー

IIS (FinancialManagement Web サー

バー)‡

HTTP/HTTPS はい

Financial Managementアプリケーション・サーバー

PerformanceManagement ArchitectWeb サーバー

HTTP/HTTPS はい

Financial Managementアプリケーション・サーバー

Shared Services Web ア

プリケーション

HTTP/HTTPS はい

Financial Managementアプリケーション・サーバー

ユーザー・ディレクトリ(ネイティブ・

ディレクトリおよび外部ユーザー・ディレクトリ)

LDAP/LDAPS はい

*サーバー間通信用の信頼できるサードパーティ CA を使用していない場合は、送信元サーバー・キーストアに CA証明書をインポートする必要があります。†Financial Management には、EPM Workspace Web サーバーを介してアクセスします。

‡Financial Management で使用される、IIS へのプロキシ・リダイレクト。

表 6 SSL 使用可能にできる Profitability and Cost Management 接続

ソース 宛先 プロトコル サーバー間*

Oracle HyperionProfitability and CostManagement, FusionEdition Web アプリ

ケーション

PerformanceManagement ArchitectWeb サーバー

HTTP/HTTPS はい

*サーバー間通信用の信頼できるサードパーティ CA を使用していない場合は、送信元サーバー・キーストアに CA証明書をインポートする必要があります。

SSL の要点の確認 17

表 7 SSL 使用可能にできる Performance Scorecard 接続

ソース 宛先 プロトコル サーバー間*

ブラウザ EPM Workspace Webサーバー

HTTP/HTTPS いいえ

EPM Workspace Webサーバー

Provider Services Web ア

プリケーション

HTTP/HTTPS はい

Oracle Hyperion(R)Application Link

Oracle HyperionPerformance Scorecard,Fusion Edition アプリ

ケーション・サーバー

HTTP/HTTPS いいえ

Provider ServicesPowerConnect

Oracle HyperionPerformance Scorecard,Fusion Edition アプリ

ケーション・サーバー

HTTP/HTTPS はい

*サーバー間通信用の信頼できるサードパーティ CA を使用していない場合は、送信元サーバー・キーストアに CA証明書をインポートする必要があります。

必須の証明書EPM System は、一方向 SSL 通信をサポートします。一方向 SSL 通信は、SSL 使用

可能のサーバー・コンポーネントがクライアントに証明書を提示すると行われま

すが、クライアントはサーバーに証明書を提示しません。

SSL 接続を確立するには、クライアントが、サーバーの証明書を発行した CA を信

頼する必要があります。最も普及したサードパーティ CA は、Java をはじめとす

る最新の SSL 使用可能アプリケーションで信頼されています。

自己署名証明書の場合のように、SSL 接続を確立するアプリケーションに知られ

ていない CA を使用する場合は、各アプリケーションのキーストアに、また必要

に応じて Web サーバーに CA の公開鍵証明書をインポートする必要があります。

たとえば、自己署名証明書を使用する場合は、すべての証明書要求に署名するた

めに使用した公開鍵証明書を、各 SSL クライアントにインポートする必要があり

ます。EPM System では、SSL クライアントに、サーバー JVM、シック・クライア

ントなどの Java 仮想マシン(JVM)や、Web ブラウザを追加できます。

共通の操作ここでは、EPM System 製品の SSL 通信を使用可能にするために実行する必要があ

る共通のタスクについて説明します。こうしたタスクは、オペレーティング・シ

ステム、アプリケーション・サーバー、および Web サーバーにかかわらず実行す

る必要があります。

18 SSL および EPM System 製品

必須の証明書SSL を実装するコンポーネントごとに有効な証明書を使用する必要があります。

次のコンポーネントは、SSL 使用可能にできます:

l ユーザー・ディレクトリ(MSAD および他の LDAP 使用可能のディレクトリ)

l アプリケーション・サーバー

l Web サーバー

こうしたコンポーネントを SSL 使用可能にする手順の詳細は、ベンダーのドキュ

メントを参照してください。

注： SSL 使用可能の各コンポーネントやサーバー・コンピュータには、独自の証

明書が必要です。デフォルトの証明書または自己署名証明書を使用するこ

とはお薦めしません。

CA からの証明書の取得および使用

通常、CA から証明書を取得する場合は、次のアクションを実行する必要がありま

す:

l 証明書要求の生成および CA への証明書要求の送信

l CA からのデジタル署名済証明書の受信

JRE が、デフォルトの信頼できるストア cacertsではなく独自の信頼できるキー

ストアを使用するよう構成されている場合は、デフォルトの信頼できるストア

cacertsにではなく、信頼できるキーストアに CA ルート証明書をロードする必

要があります。JRE が独自の信頼できるキーストアを使用しているかどうかを判

断するには、Java 開始パラメータ javax.net.ssl.trustStoreが信頼できるキー

ストア(-Djavax.net.ssl.trustStore=Absolute_path_to_Trusted_keystore

など)を示していることを確認します。

場所のリファレンス本書では、次のインストール場所を参照します:

l HYPERION_HOMEは、Oracle の EPM System 製品がインストールされるルート・

ディレクトリを示します。このディレクトリの場所は、インストール時に指

定されます。たとえば、C:/Hyperion (Windows)、/vol1/Hyperion (UNIX)な

どを示します。

l HSS_HOMEは、Shared Services ルート・ディレクトリを示します。たとえば、

C:/Hyperion/deployments/App_Server_Name/SharedServices9

(Windows)、/vol1/Hyperion/deployments/App_Server_Name/

SharedServices9 (UNIX)などを示します。

l ESSBASE_HOMEは、Oracle Essbase ルート・ディレクトリを示します。たとえ

ば、C:/Hyperion/products/Essbase (Windows)、/vol1/Hyperion/

deployments/App_Server_Name/SharedServices9 (UNIX)などを示します。

場所のリファレンス 19

l ORACLE_AS_HOMEは、Oracle_AS がインストールされるルート・ディレクトリ

を示します。たとえば、C:/product/10.1.3.x/OracleAS_1 (Windows)、/

vol1/product/10.1.3.x/OracleAS_1 (UNIX)などを示します。

l BIPLUS_HOMEは、Reporting and Analysis ルート・ディレクトリを示します。た

とえば、C:/Hyperion/deployments/App_Server_Name/BIPLUS (Windows)、/

vol1/Hyperion/deployments/App_Server_Name/BIPLUS (UNIX)などを示しま

す。

l EAS_HOMEは、Administration Services ルート・ディレクトリを示します。たと

えば、C:/Hyperion/products/Essbase/EAS (Windows)、/vol1/Hyperion/

deployments/App_Server_Name/AAS (UNIX)などを示します。

l BEA_HOMEは、WebLogic がインストールされるルート・ディレクトリを示しま

す。たとえば、C:/bea (Windows)、/vol1/bea (UNIX)などを示します。

l TOMCAT_HOMEは、Embedded Java コンテナのインストール場所を示します。デ

フォルトでは、Shared Services は、HYPERION_HOME/deployments/Tomcat5に

インストールされた Embedded Java コンテナを使用します。その他の EPM

System 製品は、TOMCAT_HOMEの同様の場所を使用します。

l APACHE_HOMEは、Apache Web サーバーのインストール場所を示します。デフォ

ルトでは、Reporting and Analysis は、Apache を HYPERION_HOME/common/

httpServers/Apache/apache_versionにインストールします。たとえば、

Hyperion/common/httpServers/Apache/2.0.52などです。

l WEBSPHERE_HOMEは、WebSphere アプリケーション・サーバーがインストール

されるルート・ディレクトリを示します。たとえば、C:/WebSphere/

AppServer (Windows)、/vol1/WebSphere/AppServer (UNIX)などを示します。

EPM System 製品のインストールと配置他の EPM System 製品をインストールして SSL 使用可能にするには、先に Shared

Services をインストールして SSL 使用可能にする必要があります。『Oracle Hyperion

Enterprise Performance Management System インストールおよび構成ガイド』を参照

してください。

Shared Services を構成する間に、Shared Services レジストリを共有するすべての EPM

System 製品の SSL 通信を使用可能にするために、EPM System コンフィグレータで

通信用 SSL の使用可能化チェック・ボックスを選択する必要があります。

通信用 SSL の使用可能化チェック・ボックスを選択しても、各自の環境が SSL を

使用するよう構成されることはありません。各自の環境を SSL 使用可能にするに

は、さらに手順を実行する必要があります。このドキュメントでは、こうした手

順について説明します。

20 SSL および EPM System 製品

3SSL用EPM Systemの構成

この章の内容

Shared Services ... . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

EPM System Web アプリケーションの SSL 使用可能化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Shared Servicesこの項の手順は、EPM System コンフィグレータで通信用 SSL の使用可能化を選択

した状態で SSL に備えて Shared Services がインストールおよび配置されているこ

とを前提としています。『Oracle Hyperion Enterprise Performance Management System

インストールおよび構成ガイド』を参照してください。

注： このドキュメントで参照されている場所のリストについては、19 ページの

「場所のリファレンス」を参照してください。

デフォルトの Shared Services SSL ポートは 28083 です。アプリケーション・サー

バー上の SSL 使用可能の Shared Services にアクセスするには、次の URL を使用し

ます。

https://Host_Name:SSL_Port/interop/index.jsp (https://myServer:28 83/

interop/index.jspなど)

注： Shared Services を SSL 使用可能にしても、ワークフローは SSL 使用可能にな

りません。ワークフローを SSL 使用可能にするには、Hub.propertiesに

sslEnabled=trueを追加してください。

ä Shared Services を SSL 使用可能にするには、次の手順を行います:

1 オプション: ご使用の CA ルート証明書が、デフォルトの信頼できるサードパーティ CA

からの証明書でない場合は、CA ルート証明書を JVM の cacertsにインポートします。

cacertsは、JRE インストール・ディレクトリ内の/lib/securityにあります。

EPM System で使用されるすべての JRE (アプリケーション・サーバー、EPM System

アプリケーション、HTTP サーバー、LDAP サーバーなど)に CA ルート証明書を

確実にロードします。JVM の標準的な場所は、次のとおりです:

l Oracle Application Server: ORACLE_AS_HOME/jdk/jre/lib/security

l WebLogic (jRockit と SUN JVM の両方に CA ルート証明書をインポートする必

要があります):

Shared Services 21

m jRockit: BEA_HOME/jrockitversion_number/jre/lib/security/cacerts

m SUN: BEA_HOME/jdkversion_number/jre/lib/security/cacerts

version_numberは JRE バージョンを示します。

l WebSphere: WEBSPHERE_HOME/java/jre/lib/security//cacerts

l Tomcat (Oracle Hyperion Enterprise Performance Management System Installer,

Fusion Edition でインストールされた Embedded Java コンテナを使用する場合):

HYPERION_HOME/common/JRE/Sun/1.5.0/lib/security/cacerts

2 アプリケーション・サーバーに適した次の手順を使用して、アプリケーション・サー

バー上で Shared Services を構成します:

l 23 ページの「Oracle Application Server での Shared Services の SSL 使用可能化」

l 24 ページの「WebLogic での Shared Services の SSL 使用可能化」

l 24 ページの「WebSphere での Shared Services の SSL 使用可能化」

l 25 ページの「Tomcat での Shared Services の SSL 使用可能化」

3 ご使用の CA ルート証明書が、デフォルトの信頼できるサードパーティ CA からの証明

書でない場合は、CA ルート証明書を HYPERION_HOME/common/JRE/Sun/1.5.0/lib/

security/cacertsにインポートします。

4 オプション: EPM System 製品が 64 ビットのオペレーティング・システムに配置されて

いる場合、CA 証明書を HYPERION_HOME/common/JRE-64/Sun/1.5.0/lib/

Security/cacertsにインポートします。

5 ユーザー・ディレクトリ接続を SSL 使用可能にします。

1. LDAP 使用可能のユーザー・ディレクトリの CA ルート証明書を取得します。

2. ご使用の CA ルート証明書が、デフォルトの信頼できるサードパーティ CA

からの証明書でない場合は、CA ルート証明書を JVM の cacertsにインポー

トします。cacertsは JRE インストール・ディレクトリ内の/lib/security

ディレクトリにあります。

受信要求や送信要求には様々なキーストアを使用できます。LDAPS は、アプ

リケーション・サーバーからの送信要求であり、HTTPS は、受信要求です。

注意 Oracle EPM System アプリケーションが複数のサーバー上にインストー

ルおよび配置されている状態で、ルート CA 証明書が、信頼できる

サードパーティ CA からの証明書でない場合は、EPM System 製品で

使用されるすべての JRE に CA ルート証明書をロードする必要があり

ます。

注： すべてのサーバーが SSL クライアントとして動作する場合は、SSL 接続を開

くようにサーバーを設定する必要があります。たとえば、Planning Web アプ

リケーションは、ユーザー・ディレクトリ・サーバーへの SSL 接続を開く必

要があります。

6 Shared Services を再起動します。

22 SSL 用 EPM System の構成

7 Oracle Hyperion(R) Shared Services Console に Shared Services 管理者としてログオンします。

セキュア URL https://host:SSL-port/interop/index.jsp (https://myServer:

28083/interop/index.jspなど)を使用して接続します。

8 LDAP 使用可能のユーザー・ディレクトリの構成を SSL 使用可能にします。

ユーザー・ディレクトリの構成方法の詳細は、『Oracle Hyperion Enterprise

Performance Management System セキュリティ管理ガイド』を参照してください。

ユーザー・ディレクトリ構成画面で、次の操作を行います:

l ポートフィールドの値がユーザー・ディレクトリの SSL ポートを示している

ことを確認します。

l SSL 使用可能が選択されていることを確認します。

Oracle Application Server での Shared Services の SSL使用可能化Oracle Application Server インスタンスに配置されたアプリケーションに送信される

要求は、Oracle HTTP Server によって受信されます。Oracle HTTP Server は、デフォ

ルトでは、Oracle Application Server の一部として構成されます。

Oracle HTTP Server とクライアント間の通信は、Oracle の EPM System アプリケー

ションをセキュリティ保護するために SSL 使用可能にすることをお薦めします。

必要な場合は、Shared Services をホストする OC4J インスタンスと HTTP サーバー

間の通信に、AJP ではなくセキュア AJP を使用してセキュリティを強化できます。

Oracle HTTP Server を SSL 使用可能にする方法の詳細は、『Oracle HTTP Server 管理

者ガイド』の Oracle HTTP Server の SSL の使用可能化に関する説明を参照してく

ださい。Oracle HTTP Server を SSL 使用可能にする手順には、次の作業が含まれま

す:

l ログイン情報(証明書要求、証明書と秘密鍵)を保管するウォレットの作成。

Oracle HTTP Server でインストールされるデフォルトのウォレットは、主にテ

スト用です。

l opmn.xml (Oracle Process Manager and Notification Server 用のプライマリ構成ファ

イル)の編集、および開始モード・プロパティ値の ssl-enabledへの変更。

注： Apache 1.3 に基づく Oracle HTTP Server では、SSL で保護されたターゲット

へのリバース・プロキシ要求に必要な SSLProxyEngineディレクティブをサ

ポートしていません。たとえば、Apache 1.3 に基づく Oracle HTTP Server を

使用して、SSL で保護された Financial Management Web サーバーに要求をプ

ロキシ転送できません。リバース・プロキシとして動作するアプリケーショ

ンと Oracle HTTP Server との間に SSL 通信が必要な場合は、Oracle 10gR3

Companion (10.1.3.x) CD に収録されている Oracle HTTP Server 2 (Apache 2 ベー

ス)を使用する必要があります。Application Server 10g Release 3 (10.1.3.x)

Downloads を参照してください。

Shared Services 23

Oracle HTTP Server 以外の HTTP サーバーを使用する場合は、『Oracle HTTP Server

管理者ガイド』の Oracle Containers for J2EE Plug-in の使用方法に関する説明を参照

してください。

WebLogic での Shared Services の SSL 使用可能化

ä WebLogic 上で Shared Services を SSL 使用可能にするには、次の手順を行います:

1 WebLogic 管理コンソールにログオンします。

2 Servers」、「Shared Services (admin)の順に選択します。

3 General で、SSL Listen Port Enabled を選択します。

4 Shared Services での SSL 通信のリスニング・ポート(28083 など)を指定します。

5 Keystore で、ID と信頼キーストアを設定します。

信頼できるサードパーティ CA からのルート証明書を使用していない場合は、ルー

ト CA 証明書が信頼キーストアにロードされ、サーバー証明書が ID キーストアに

ロードされていることを確認します。

6 SSL で、鍵の別名、証明書の場所、およびパス・フレーズを設定します。

7 オプション: Advanced をクリックし、Hostname Verification 値を Noneに設定します。

注： ホスト名の確認を使用不可にすると、安全でなくなるので使用不可にしな

いでください。ホスト名の確認を使用不可にしていない場合は、クライア

ントの参照するホスト名が、証明書で指定されているホスト名と一致する

ことを確認します。

8 構成を保存します。

WebSphere での Shared Services の SSL 使用可能化

WebSphere では、Shared Services は SSL ポートに自動的に配置されます。この SSL

ポート番号は、非 SSL ポート番号+3 です。たとえば、ポート 28080 に配置される

Shared Services は、SSL ポート 28083 に配置されます。このポートは、デフォルト

では、組込みの(デフォルトの)証明書を使用するよう構成されます。生成した証

明書または CA から取得した証明書を使用するには、SSL 設定を変更する必要があ

ります。

注： Windows サービスを使用して、WebSphere 上で配置された SSL 使用可能の

EPM System 製品を管理および監視する場合は、アプリケーションのステー

タスを正しく反映するために Windows レジストリ・キーにおける製品の安

全なポート番号を更新する必要があります。一般に、SSL 使用可能のアプリ

ケーションの HTTP リスニング・ポートを示す JVMOption パラメータの値

データは、HTTPS セキュア・ポートを反映するよう変更する必要がありま

す。たとえば、SSL 使用可能の Shared Services ポートが 28083 であり、

JVMOption2パラメータが Shared Services HTTP リスニング・ポート値に設定

されているとします。その場合は、例 HKEY_LOCAL_MACHINE¥SOFTWARE

24 SSL 用 EPM System の構成

¥Hyperion Solutions¥SharedServices9¥HyS9SharedServices

¥JVMOption2="-Dwas.port=28083に示すように、JVMOption2の値データ

をセキュア・リスニング・ポートの値で更新する必要があります。

ä WebSphere 上で Shared Services を SSL 使用可能にするには、次の手順を行います:

1 WebSphere 管理コンソールにログオンします。

2 セキュリティー、SSL、SharedServices9/DefaultSSLSettings の順に選択します。

1. 鍵ファイルのセクションで、鍵ファイル、鍵ファイルのパスワード、および

鍵ファイルのフォーマットを指定します。

2. 信頼ファイルのセクションで、信頼ファイル、信頼ファイルのパスワード、

および信頼ファイルのフォーマットを指定します。

3. 適用をクリックします。

受信要求や送信要求には、様々なキーストアを使用できます。LDAPS は送信要求

で、HTTPS は受信要求です。詳細は、WebSphere のドキュメントを参照してくだ

さい。

Tomcat での Shared Services の SSL 使用可能化

ä Tomcat で Shared Services を SSL 使用可能にするには、次の手順を行います:

1 証明書キーストアを作成し、キーストアに証明書をインポートします。

2 信頼できるサードパーティのルート CA 証明書を使用していない場合は、cacertsファ

イルに証明書をインポートします。

3 Shared Services を停止します。

4 server.xmlを編集します。

1. テキスト・エディタを使用して、TOMCAT_HOME/SharedServices9/conf/

server.xml (C:/Hyperion/deployments/Tomcat5/SharedServices9/conf/

server.xmlなど)を開きます。

2. <Service name="Catalina">で次の行をコメント・アウトして、HTTP コネ

クタを使用不可にします:

<Connector port="28080" useBodyEncodingForURI="false"

URIEncoding="UTF-8" />

3. Connector定義を挿入または更新して、HTTPS コネクタを使用可能にしま

す:

<Connector port="28083" minProcessors="5" maxProcessors="75"

enableLookups="true"

disableUploadTimeout="true"

acceptCount="100"

debug="1" scheme="https"

clientAuth="false"

sslProtocol="TLS"

keystoreFile="keystore_file" keystorePass="keystore_password" />

Shared Services 25

keystore_fileには、インポートした署名済証明書へのパス(C:/Hyperion/

common/ssl/keystore/mykeystore.jksなど)を指定し、

keystore_passwordには、キーストア・パスワードを指定します。

次の属性を指定する必要があります:

l keystoreFile: カスタム・キーストア・ファイルの場所。作成したキー

ストアが、Tomcat の想定するキーストア・ファイルのデフォルトの場所

にない場合に、この属性を追加します(このキーストア・ファイル

は、.keystoreという名前であり、通常はユーザーのホーム・ディレク

トリに保管されます)。絶対パスまたは$CATALINA_BASE環境変数を基準

にした相対パスを指定できます。

l keystorePass: キーストア・パスワード。カスタム・キーストアを使用

する場合に、この属性を追加する必要があります。デフォルトのキース

トアを使用する場合は、デフォルトのパスワード(changeit)以外のパス

ワードを使用する際に keystorePassを更新する必要があります。

注： PKCS12 キーストアを使用する場合は、keystoreType要素を指定しま

す。

注： server.xml内の Connector port値(デフォルトは 28443)は、Shared

Services レジストリに記録されている SSL ポート番号と一致する必要が

あります。

4. オプション: コネクタ定義でさらに次の属性を設定します:

l algorithm: 使用される証明書エンコード・アルゴリズム。指定されてい

ない場合は、SunX509 (デフォルト値)が使用されます。AIX サーバー・コ

ンピュータで実行する Tomcat 上で Shared Services を構成する場合は、

SSL HTTP/1.1 Connector定義内の algorithm属性の値を ibmX509に設

定する必要があります。

l useBodyEncodingForURI: URI に対する本文エンコードを使用するかど

うかを指定します。Shared Services の韓国語バージョンの HTTP サーバー

として Tomcat を使用する場合は、この属性を FALSEに設定する必要が

あります。

l URIEncoding: URI エンコード用の文字セットを指定します。Shared

Services の韓国語バージョンの HTTP サーバーとして Tomcat を使用する

場合は、この属性を UTF-8に設定する必要があります。

5. server.xmlを保存して閉じます。

5 Shared Services を再起動します。

6 他の EPM System 製品を SSL 用に構成します。

26 SSL 用 EPM System の構成

WebSphere と LDAPS 使用可能ユーザー・ディレクトリWebSphere 6.x と SSL 使用可能ユーザー・ディレクトリを使用する場合は、SSL 使

用可能ユーザー・ディレクトリから署名者証明書をインポートし、Shared Services

環境に署名者証明書を移行する必要があります。

署名者証明書のインポート

署名者証明書は、Shared Services で構成された各 LDAPS 使用可能ユーザー・ディ

レクトリからインポートする必要があります。

ä 署名者証明書をインポートするには、次の手順を行います:

1 WebSphere 管理コンソールで、セキュリティー、SSL 証明書および鍵管理、エンドポイ

ント・セキュリティー構成の管理の順に選択します。

2 ローカル・トポロジーで、インバウンドから nodes を選択し、Shared Services がインス

トールされているノードを選択します。

3 構成画面で、追加プロパティーから個人証明書を選択します。

4 ポートから取得を選択します。

5 構成画面で、署名者証明書のインポート先ユーザー・ディレクトリに関する必要な情

報(ホスト名、SSL ポート番号、および別名)を入力します。

6 署名者情報の取得をクリックします。

7 OK をクリックします。

Shared Services への署名者証明書キーストアの移行

キーストアは、すべての構成済 SSL 使用可能ユーザー・ディレクトリから署名者

証明書をインポートした後にのみ Shared Services 環境に移行します。

ä 署名者証明書を Shared Services 環境に移行するには、次の手順を行います:

1 WEBSPHERE_HOME/profiles/profile_name/config/cells/cell_name/nodes/

node_name/trust.p12をコピーします。

2 trust.p12を HYPERION_HOME/deployments/WebSphere6/profile/config/

cells/hyslCell/nodes/hyslNodeに貼付けて、現在のファイルに上書きします。

注： ルート CA 証明書が、信頼できるサードパーティ CA からの証明書でない場

合、シック Java クライアントでは、クライアント JRE cacertにルート CA

証明書をインポートする必要があります。

EPM System Web アプリケーションの SSL 使用可能化l 28 ページの「全般手順」

EPM System Web アプリケーションの SSL 使用可能化 27

l 29 ページの「Foundation Services」

l 30 ページの「Essbase」

l 33 ページの「Planning」

l 33 ページの「Financial Management」

l 34 ページの「Reporting and Analysis」

全般手順EPM System Web アプリケーションを SSL 使用可能にするプロセスは、どのアプリ

ケーションでも同じです。たとえば、Shared Services を使用する手順の詳細は、21

ページの「Shared Services」を参照してください。この手順との違いは、この後の

項で説明します。

配置シナリオでは、EPM System Web アプリケーションは HYPERION_HOMEにイン

ストールされます。配置する間に、アプリケーションが使用する必要がある Oracle

Hyperion Shared Services レジストリを指定します。

ほとんどの EPM System Web アプリケーション・ユーザーは、Shared Services で構

成されたユーザー・ディレクトリにおいて管理されます。Shared Services が、安全

な接続でユーザー・ディレクトリにアクセスするよう構成されている場合は、Web

アプリケーションをホストするアプリケーション・サーバーの JVM に LDAP ユー

ザー・ディレクトリの CA ルート証明書をインポートする必要があります。

注： セッション中にホスト名の不一致エラーが発生した場合は、クライアント

の参照するホスト名が、証明書内のホスト名(共通名)と一致していることを

確認します。

ä EPM System Web アプリケーションを構成するには、次の手順を行います:

1 『Oracle Hyperion Enterprise Performance Management System インストールおよび構成ガイド』

に説明されているとおりに EPM System コンポーネントをインストールおよび配置しま

す。

2 アプリケーション・サーバーの SSL ポートを構成します。手順の詳細は、Shared Services

を SSL 使用可能にする方法について説明した次のいずれかのトピックを参照してくだ

さい。アプリケーションで使用されている安全なポートを使用するよう手順を調整し

ます。

l 23 ページの「Oracle Application Server での Shared Services の SSL 使用可能化」

l 24 ページの「WebLogic での Shared Services の SSL 使用可能化」

l 24 ページの「WebSphere での Shared Services の SSL 使用可能化」

l 25 ページの「Tomcat での Shared Services の SSL 使用可能化」

注： Embedded Java コンテナ(Tomcat)上で EPM System アプリケーションを SSL 使

用可能にするために編集する必要がある server.xmlファイルは、

HYPERION_HOME/deployments/Tomcat5/PRODUCT_CODE/confディレクトリ

28 SSL 用 EPM System の構成

にあります。たとえば、Administration Services 用のこのファイルは、C:/

Hyperion/deployments/Tomcat5/easにあります。

3 アプリケーション固有の必須の手順を実行します。

l 29 ページの「Foundation Services」

l 30 ページの「Essbase」

l 33 ページの「Planning」

l 33 ページの「Financial Management」

l 34 ページの「Reporting and Analysis」

4 Web サーバーを使用する場合は、そのサーバーを構成します。

l 37 ページの「Oracle HTTP Server を使用する EPM System の構成」

l 37 ページの「Apache を使用する EPM System の構成」

l 40 ページの「IIS を使用する EPM System の構成」

5 各自の環境(Web サーバー、アプリケーション・サーバー、および Web アプリケーショ

ン)を再起動します。

6 クライアントを構成します。信頼できるサードパーティ CA からの証明書でないルー

ト証明書を使用して SSL 接続を開くシック Java クライアントを構成する場合は、クラ

イアント JRE cacertにルート CA 証明書をインポートする必要があります。

Foundation Services次の Oracle Hyperion(R) Foundation Services コンポーネントは、全般の配置手順を

使用します。28 ページの「全般手順」を参照してください。

l EPM Workspace

l Performance Management Architect

l Calculation Manager

l Smart Space

Smart View は、次の SSL 使用可能のデータ・ソースに接続できます:

l Provider Services を使用する Essbase、Planning、および Oracle Business

Intelligence Enterprise Edition

l 独立プロバイダを使用する Financial Management、Planning、および Reporting

and Analysis

SSL 使用可能の Web サーバーがデータ・ソース・プロバイダのフロントエンドと

して使用されている場合、Smart View クライアントは、HTTPS を使用して Web

サーバーに接続できます。

EPM Workspace を SSL 使用可能にしたら、リポジトリ内の v8_prop_valueテーブ

ルで ConfigurationManager.hubUseSSLの値が TRUEに設定されていることを確

認します。

EPM System Web アプリケーションの SSL 使用可能化 29

注： EPM Workspace を SSL 使用可能にすると、Oracle Hyperion(R) Interactive

Reporting も SSL 使用可能になります。

EPM Workspace サービスの構成

SSL 用に EPM Workspace サービスを手動で構成するには、HYPERION_HOME/

common/workspacecert/9.5.0.0/common/config/task.xmlを編集する必要があ

ります。

ä EPM Workspace サービスを構成するには、次の手順を行います:

1 EPM Workspace エージェントを停止します。

2 テキスト・エディタを使用して、task.xmlを開きます。

3 EPM Workspace タスク・タイプ定義(<task type="workspace">)に次のディレクティ

ブを追加します:

<system property="javax.net.ssl.trustStore">${HYPERION_HOME}${/}common$

{/}ssl${/}keystore</system>

<system property="javax.net.ssl.password">password</system>

trustStoreには、CA 証明書が保管される信頼ストアを指定し、passwordには、

CA 証明書パスワードを指定します。デフォルトのパスワードを使用する場合は、

passwordディレクティブを指定する必要はありません。

4 task.xmlを保存して閉じます。

5 EPM Workspace エージェントを開始します。

Tomcat での Smart Space

setCustomParamsSmartSpaceWebServices.batに次の JVM オプションを追加し

て、Oracle Smart Space, Fusion Edition サービス間通信の証明書の確認を使用不可に

します。このファイルは、C:/Hyperion/deployments/Tomcat5/binにあります。

-Daxis.socketSecureFactory=

org.apache.axis.components.net.SunFakeTrustSocketFactory

Performance Management Architect

Apache Web サーバーを使用する場合でも、Performance Management Architect サー

バーには IIS 用の SSL 証明書が必要です。この証明書がなければ、Performance

Management Architect は Apache Web サーバーに接続できません。

Essbase次の Essbase コンポーネントは、全般の配置手順を使用します。28 ページの「全

般手順」を参照してください。

l Oracle Hyperion Provider Services

30 SSL 用 EPM System の構成

l Oracle Hyperion Smart Search, Fusion Edition

l HAB.Net

Essbase サーバー

Essbase サーバーは、SSL 使用可能にはできませんが、SSL 使用可能の Shared Services

インスタンスと通信できます。

Shared Services を SSL 使用可能にしたら、Oracle Essbase サーバーが正常に開始して

Shared Services と通信できることを確認します。

Administration Services

デフォルトの Administration Services クライアント SSL ポートは 10083 です。アプ

リケーション・サーバー上で SSL 使用可能の Administration Services サーバーにア

クセスするには、次の URL を使用します。

注： ルート CA 証明書が、信頼できるサードパーティ CA からの証明書でない場

合は、JVM cacertに CA ルート証明書をインポートする必要があります。

JVM の場所は、essbase.cfgで確認できます。

注： ブラウザから初めて SSL 使用可能の Administration Services コンソールにア

クセスする場合は、Administration Services コンソールにより証明書が提示さ

れます。この証明書を受け入れて、ブラウザの JVM にインポートする必要

があります。この証明書を受け入れない場合は、「404 - 見つかりません」と

いうメッセージが表示されます。

ä Administration Services を構成するには、次の手順を行います:

1 EAS_HOME/server/HUB.propertiesを編集します。

1. テキスト・エディタを使用して、Hub.properties (C:/Hyperion/products/

Essbase/eas/server/HUB.propertiesなど)を開きます。

2. Shared Services の SSL 使用可能のポートを反映するようポート番号を更新し

ます。

3. HubUseSecureを TRUEに設定します。HubUseSecureプロパティがファイル

内に存在しない場合は、それを追加します。

4. HUB.propertiesを保存して閉じます。

2 setCustomParamseas.batを更新します。

1. テキスト・エディタを使用して、setCustomParamseas.bat (C:/Hyperion/

deployments/Tomcat5/bin/setCustomParamseas.batなど)を開きます。

2. WebSphere、WebLogic、Oracle Application Server: 次のオプションとともに

JAVA_OPTIONSディレクティブを追加します:

EPM System Web アプリケーションの SSL 使用可能化 31

注： Embedded Java コンテナのみ: SET JAVA_OPTSディレクティブを追加し

ます。

keystore_file -Djavax.net.ssl.password =keystore_password

keystore_fileには、インポートした署名済証明書へのパス(C:/Hyperion/

common/ssl/keystore/mykeystore.jksなど)を指定し、

keystore_passwordには、キーストア・パスワードを指定します。

3. setCustomParamseas.batを保存して閉じます。

3 オプション: Administration Services を Windows サービスとして開始する場合は、

Administration Services の Windows レジストリ・キーに次のオプションを追加します:

l JVMOptionX

l JVMOPTIONSCOUNT

4 Administration Services を再起動します。

WebSphere 情報

SSL をサポートするには、Administration Services Web アプリケーションの汎用 JVM

引数を追加する必要があります。

ä Administration Services Web アプリケーションの汎用 JVM 引数を追加するには、次

の手順を行います:

1 Administration Services Web アプリケーションが実行されている場合は停止します。スター

ト、プログラム、Oracle EPM System、Essbase、Administration Services、Administration Services

の停止 (WebSphere)の順に選択します。

2 WebSphere 管理コンソールにログインします。

3 サーバーノードを展開し、アプリケーション・サーバーを選択します。

「アプリケーション・サーバー」ページが開きます。このページには、アプリケー

ション・サーバーがセルにリストされています。

4 eas を選択します。

5 サーバー・インフラストラクチャーで Java およびプロセス管理を展開し、プロセス定

義を選択します。

6 追加プロパティーから Java 仮想マシンを選択します。

7 汎用 JVM 引数に次の JVM 引数を入力します。

注： 配置に値を反映させるには、JVM 引数を更新します。次の JVM 引数では、

HYPERION_HOMEは C:¥Hyperion、SSL 信頼ストアは C:¥Hyperion¥common

¥ssl¥keystore、信頼できる JKS キーストア・パスワードは passwordであ

ることを前提としています。

-DcomponentId=a9500b0d98e652a9735493ff11f80e5d0d47a98 -

Dsun.net.inetaddr.ttl=0 -DHYPERION_HOME=C:\Hyperion -Dhyperion.home=C:

\Hyperion -DEAS_LOG_LOCATION=C:\Hyperion\logs\eas\easserver.log -

32 SSL 用 EPM System の構成

DEAS_LOG_LEVEL=5000 -Djavax.net.ssl.trustStore=C:\Hyperion\common\ssl

\keystore -Djavax.net.ssl.trustStorePassword=password

8 アプリケーション・サーバーページが表示されるまで、OK を繰り返しクリックしま

す。

9 すべての SSL 関連タスクが完了したら、Administration Services Web アプリケーションを

開始します。スタート、プログラム、Oracle EPM System、Essbase、Administration

Services、Administration Services の開始 (WebSphere)の順に選択します。

Tomcat 情報

Administration Services Web コンソールは、HTTPS を介してロードできないため、

Administration Services の HTTP コネクタは使用不可にしないでください。Oracle

Essbase Administration Services Web コンソールは、常に非セキュア URL を使用して

ロードする必要があります。

Administration Services クライアント

ä Administration Services クライアントを SSL 使用可能にするには、次の手順を行い

ます:

1 テキスト・エディタを使用して、admincon.lax (C:/Hyperion/products/Essbase/

eas/console/bin/admincon.laxなど)を開きます。

2 lax.nl.java.option.additionalで始まる行を探します。

3 lax.nl.java.option.additional=プロパティの値に次のパラメータを追加します:

-Djavax.net.ssl.trustStore=keystore_file

-Djavax.net.ssl.password= keystore_password

keystore_fileは、インポートした署名済 CA ルート証明書の名前と絶対的な場

所(C:/Hyperion/common/JRE/Sun/1.5.0/lib/security/cacertsなど)を示し、

keystore_passwordはキーストア・パスワードを示します。27 ページの「署名者

証明書のインポート」を参照してください。

4 admincon.laxを保存して閉じます。

PlanningOracle Hyperion Planning, Fusion Edition Web アプリケーションでは、全般の配置手

順を使用します。28 ページの「全般手順」を参照してください。

Financial Management信頼できるサードパーティ CA からの証明書でないルート CA 証明書を使用して

SSL を設定する場合は、Win 32 クライアントが実行しているコンピュータ上の信

頼できる Windows 証明書ストアにルート CA 証明書をインポートする必要があり

ます。証明書をインポートするには、Microsoft 管理コンソールを使用します。

Microsoft 証明書サーバーを使用する場合、クライアントにルート CA 証明書をイ

EPM System Web アプリケーションの SSL 使用可能化 33

ンストールする手順の詳細は、http://support.microsoft.com/kb/218445/の Microsoft

ドキュメントを参照してください。

次のアプリケーションには、標準の手順を使用します:

l Financial Management

l Financial Management Oracle Hyperion Smart View for Office, Fusion Edition プロバ

イダ

Financial Management Web アプリケーションは、IIS アプリケーション・サーバー

上でホストされます。このサーバーは、SSL 使用可能にする必要があります。6

ページの「Web サーバー」を参照してください。

Reporting and Analysis次の Reporting and Analysis コンポーネントでは、全般の配置手順を使用します。

28 ページの「全般手順」を参照してください。

l Web Analysis

l Financial Reporting

Reporting and Analysis コンポーネントとの通信は、常に Web サーバーを介して転

送されるため、SSL 使用可能にする必要があります。

注： Oracle Access Manager WebGate を使用している場合、Internet Explorer と Web

サーバー間で SSL が使用可能になっていると、Financial Reporting では PDF

コンテンツが Internet Explorer にストリーミングされないことがあります。

これは、WebGate ではデフォルトで CachePragmaHeaderと

CacheControlHeaderの値が no-cacheに設定されるためです。これらのパ

ラメータの値を publicに設定することをお薦めします。

Web Analysis

Web Analysis が、信頼できるサードパーティ CA から発行されていないルート CA

証明書を使用して SSL 使用可能にされている場合は、Web Analysis クライアント

(Java アプレット)が SSL 使用可能のサーバーに正常に接続できるように、ブラウ

ザで使用される JRE キーストアにルート CA をロードする必要があります。

Financial Reporting コンポーネント間の RMI 通信の暗号化

Financial Reporting のスタンドアロン Java コンポーネント(Studio、レポート・サー

バー、および印刷サーバー)間の通信は、Remote Method Invocation (RMI)が使用さ

れ、暗号化できます。

ä Financial Reporting コンポーネント間の RMI 通信を暗号化するには、次の手順を行

います:

1 Financial Reporting レポート・サーバーをホストするサーバーの

fr_repserver.propertiesファイルを開きます。

34 SSL 用 EPM System の構成

2 RMI_Encryptor=com.hyperion.reporting.security.impl.HsRMICryptorの行

のコメントを解除します。

3 fr_repserver.propertiesを保存します。

FDM証明機関(CA)が、信頼できるサード・パーティからの CA でない場合は、Shared

Services 証明書の署名に使用される CA のパブリック証明書を、

HYPERION_HOME/common/JREで使用される信頼できるキーストアにインポート

する必要があります。この操作は、Oracle Hyperion Financial Data Quality

Management, Fusion Edition コンポーネントがインストールされている各サーバー

で行う必要があります。

EPM System Web アプリケーションの SSL 使用可能化 35

36 SSL 用 EPM System の構成

4EPM SystemのWebサーバーの

構成

この章の内容

Oracle HTTP Server を使用する EPM System の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

Apache を使用する EPM System の構成. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

IIS を使用する EPM System の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

Oracle HTTP Server を使用する EPM System の構成デフォルトでは、Oracle Application Server に配置された EPM System 製品は、組込

みの Oracle HTTP Server を使用します。配置プロセスでは、Oracle HTTP Server が

構成されます。また、Oracle HTTP Server は、SSL 使用可能にする必要がありま

す。

SSL 用に Oracle HTTP Server を構成する方法については、『Oracle HTTP Server 管理

者ガイド』の Oracle HTTP Server の SSL の使用可能化に関する説明を参照してく

ださい。

Apache を使用する EPM System の構成Reporting and Analysis をインストールおよび配置するときにインストールされる

Apache Web サーバーは、SSL 互換ではありません。したがって、EPM System 製品

をサポートするために SSL 互換の Apache Web サーバー(2.0.59)を取得することを

お薦めします。

注： HYPERION_HOME/common/httpServers/Apache/apache_version内の既存

の Apache インストールをバックアップしてから Apache をインストールし、

既存の Apache インストールに上書きすることをお薦めします。

Web サーバーを SSL 使用可能にする手順については、Web サーバーのドキュメン

ト(6 ページの「Web サーバー」を参照)を参照してください。

Apache と Oracle Application ServerApache と Oracle Application Server を併用する手順については、『Oracle HTTP Server

管理者ガイド』の汎用 Apache と Oracle Application Server との統合に関する説明を

参照してください。

Oracle HTTP Server を使用する EPM System の構成 37

Apache と WebLogicここでは、Apache Web サーバーが SSL 使用可能になっていることを前提としてい

ます。

Apache と WebLogic 間の接続を確立するために必要な Web サーバー・プラグイン

(HYSL-WebLogic.conf)は、HYPERION_HOME/common/httpServers/Apache/2.0.

59/conf内に生成されます。EPM System 製品(Web Analysis、Financial Reporting な

ど)の SSL ポートを指定するには、HYSL-WebLogic.confを変更する必要がありま

す。

ä Web サーバー構成ファイルを更新するには、次の手順を行います:

1 テキスト・エディタを使用して、HYPERION_HOME/common/httpServers/Apache/2.

0.59/conf/HYSL-WebLogic.confを開きます。

2 各 LocationMatch定義で、EPM System 製品の使用するアプリケーション・サーバー

SSL ポートを反映するよう WeblogicClusterプロパティを更新します。

HYSL-WebLogic.confには、多数の LocationMatch定義が設定されています。た

とえば、Web Analysis 関連の定義は、/WebAnalysis (<LocationMatch /

WebAnalysis/..など)で示され、Financial Reporting 定義は、/hr

(<LocationMatch /hrなど)で示されます。

EPM Workspace UI サービスのサンプル LocationMatch定義:

<LocationMatch /workspace/cdsrpc$>

SetHandler weblogic-handler

PathTrim /

KeepAliveEnabled ON

KeepAliveSecs 20

WeblogicCluster host.example.com:45003

</LocationMatch>

3 HYSL-WebLogic.confで、セキュア・プロキシをオンにし、信頼できる CA ファイル

が保管されている絶対パスを指定します。そのためには、次のパラメータを追加しま

す:

SecureProxy ON

TrustedCAFile location_of_certificate

location_of_certificateは、証明書ファイルへの絶対パス(C:/certificates/

ssl-keys/CA.crtなど)で表す必要があります。

注： セッション中にホスト名の不一致エラーが発生する場合は、パラメータ

RequireSSLHostMatch=falseを追加して SSL ホストの検出を無効にするか、

クライアントの参照するホスト名が証明書内のホスト名と一致しているこ

とを確認できます。

4 HYSL-WebLogic.confを保存して閉じます。

5 Apache Web サーバーを再起動します。

6 SSL 使用可能の Web URL にアクセスして Reporting and Analysis アプリケーションに接続

します。

38 EPM System の Web サーバーの構成

Apache と TomcatApache Web サーバーと Tomcat アプリケーション・サーバー間の通信では、バイ

ナリ Apache JServ プロトコル(AJP)が使用されるため、SSL 使用可能にはできませ

ん。

Apache Web サーバーを SSL 使用可能にすると、Apache サーバーとブラウザの間で

安全な通信が確立されます。

注： この Apache サーバー・インストールを他の EPM System コンポーネントの

Web サーバーとして使用する場合は、『Oracle Hyperion Enterprise Performance

Management System インストールおよび構成ガイド』に記載されている追加

構成手順を実行する必要があります。

注： Apache Web サーバーを使用する場合は、Performance Management Architect

サーバーに IIS の SSL 証明書が必要です。この証明書がなければ、Oracle

Hyperion EPM Architect, Fusion Edition は、Apache Web サーバーに接続でき

ません。

Apache と WebSphereWeb サーバーと WebSphere アプリケーション・サーバー間の SSL 通信を使用可能

にする場合は、Web サーバーをホストするコンピュータに Global Security Kit (GSKit)

をインストールする必要があります。GSKit のインストール手順の詳細は、IBM

のドキュメントを参照してください。

Reporting and Analysis アプリケーションをホストする WebSphere アプリケーショ

ン・サーバーと Apache Web サーバー間の通信を確立するために必要な plugin-

cfg.xmlは、EPM System コンフィグレータを使用してアプリケーションを配置す

るときに APACHE_HOME/conf内に自動生成されます。このファイルは、SSL 使用

可能のアプリケーション・サーバーによって生成された plugin-cfg.xmlからの

適切なトランスポート情報で更新する必要があります。

自動配置プロセスでは、Oracle Hyperion Reporting and Analysis アプリケーションが

アプリケーション・サーバー上の個別のプロファイルに配置されます。plugin-

cfg.xmlは、アプリケーションごとに生成する必要があります。

ä SSL 使用可能の Apache Web サーバー向けに Reporting and Analysis を構成するに

は、次の手順を行います:

1 EPM System 製品の plugin-cfg.xmlを生成します。

1. コマンド・プロンプト・ウィンドウを開きます。

2. HYPERION_HOME/deployments/WebSphere6/profile/binに移動します。

3. GenPluginCfg.bat (Windows)または GenPluginCfg.sh (UNIX)を実行しま

す。

HYPERION_HOME/deployments/WebSphere6/profile/config/cellsに

plugin-cfg.xmlが生成されます。

Apache を使用する EPM System の構成 39

2 手順 1 で生成した plugin-cfg.xmlからトランスポート定義をコピーします。

1. テキスト・エディタを使用して、HYPERION_HOME/deployments/

WebSphere6/profile/config/cells/plugin-cfg.xmlを開きます。この

ファイルには、各 Web アプリケーションのトランスポート定義が設定され

ています。

2. Transport定義をコピーします。この定義のサンプルを次に示します:

<Transport Hostname="myServer.example.com" Port="45000"

Protocol="http" />

<Transport Hostname="myServer.example.com" Port="45002"

Protocol="https" >

<Property Name="keyring" Value="c:\Program Files\IBM\WebSphere

\Plugins\etc\plugin-key.kdb" />

<Property Name="stashfile" Value="c:\Program Files\IBM\WebSphere

\Plugins\etc\plugin-key.sth" />

</Transport>

注： アプリケーション・サーバーが SSL 使用可能の場合は、HTTP トラン

スポート定義を除去できます。

3 Apache の plugin-cfg.xmlを更新します。

1. テキスト・エディタを使用して、APACHE_HOME/conf (C:/Hyperion/common/

httpServers/Apache/2.0.59/confなど)にある Apache の plugin-cfg.xml

を開きます。

2. WebSphere で生成されたプラグイン・ファイルからコピーした Transport定

義を貼付けて、既存の Transport定義を置き換えます。

注意 plugin-cfg.xmlには、各 Web アプリケーションの Transport定義

が設定されます。Transport定義は必ず正しい位置に貼付けてくださ

い。

3. Transport定義内の keyringおよび stashfileのプロパティが正しいこと

を確認します。

4. <VirtualHostGroup>定義で、アプリケーションの使用する SSL ポートを示

す仮想ホスト定義を挿入します。たとえば、Web Analysis の次の定義を挿入

できます:

<VirtualHost Name="*:16002" />

5. plugin-cfg.xmlを保存して閉じます。

4 Apache Web サーバーを再起動します。

IIS を使用する EPM System の構成l 41 ページの「IIS と Oracle Application Server」

l 41 ページの「IIS と WebLogic」

l 42 ページの「IIS と Tomcat」

l 42 ページの「IIS と WebSphere」

40 EPM System の Web サーバーの構成

IIS と Oracle Application ServerOracle HTTP Server のフロントエンドに IIS を使用する場合は、Oracle_AS プロキ

シ・プラグインを構成する必要があります。『Oracle HTTP Server 管理者ガイド』

の Oracle Application Server プロキシ・プラグインの使用方法に関する説明を参照

してください。

Oracle Containers for J2EE (OC4J)にアクセスするよう IIS を構成する場合は、OC4J

プラグインを構成する必要があります。『Oracle HTTP Server 管理者ガイド』の

Oracle Containers for J2EE プラグインの使用方法に関する説明を参照してください。

注： Oracle Application Server のリバース・プロキシとして IIS を使用するときに

使用される Oracle の IIS プロキシ DLL では、SSL はサポートされないので、

IIS Web サーバーと他の Web サーバー間の通信は暗号化されません。たとえ

ば、EPM Workspace が Oracle Application Server 上に IIS HTTP サーバーとと

もに配置され、Oracle Hyperion Financial Management, Fusion Edition は別の

IIS インスタンスに配置されているとします。このような場合は、2 つの IIS

インスタンス間の通信を SSL 使用可能にできません。この問題は、1 つの IIS

インスタンスを使用してすべての EPM System 製品をホストするようにすれ

ば解決できます。

IIS と WebLogiciisproxy.iniファイルは、EPM System 製品をアプリケーション・サーバーに配

置する際に生成されます。このファイルは、HTTP サーバーを使用する必要があ

る EPM System 専用に作成されます。iisproxy.iniには、IIS プラグイン

(iisproxy.dll)の構成パラメータを定義する name=valueペアが含まれます。

iisproxy.iniの場所は、次のとおりです:

l Oracle Enterprise Performance Management Workspace, Fusion Edition:

HYPERION_HOME/deployments/WebLogic9/workspace

l Web Analysis: HYPERION_HOME/deployments/WebLogic9/WebAnalysis

l Oracle Hyperion Financial Reporting, Fusion Edition: HYPERION_HOME/

deployments/WebLogic9/hr

サンプル iisproxy.ini:

WebLogicCluster=myserver.example.com:ポート

ConnectTimeoutSecs=20

ConnectRetrySecs=2

WlForwardPath=/workspace

DynamicServerList=ON

SecureProxy=ON

TrustedCAFile=location_of_certificate

location_of_certificateは、証明書ファイルへの絶対パス(C:/certificates/

ssl-keys/CA.crtなど)で表す必要があります。

IIS を使用する EPM System の構成 41

注： セッション中にホスト名の不一致エラーが発生する場合は、パラメータ

RequireSSLHostMatch=falseを追加して SSL ホストの検出を無効にするか、

クライアントの参照するホスト名が証明書内のホスト名と一致しているこ

とを確認できます。

ä WebLogic サーバー上で実行する Reporting and Analysis への IIS リダイレクトを構

成するには、次の手順を行います:

1 テキスト・エディタを使用して、IIS リダイレクトを構成するアプリケーション(Web

Analysis など)の iisproxy.iniを開きます。

2 次のディレクティブが正しく設定されていることを確認します:

SecureProxy=ON

TrustedCAFile=location_of_certificate

location_of_certificateは、証明書ファイルへの絶対パス(C:/certificates/

ssl-keys/CA.crtなど)で表す必要があります。

注： セッション中にホスト名の不一致エラーが発生する場合は、パラメータ

RequireSSLHostMatch=falseを追加して SSL ホストの検出を無効にするか、

クライアントの参照するホスト名が証明書で指定されたホスト名と一致し

ていることを確認できます。

3 iisproxy.iniを保存して閉じます。

4 他のアプリケーションに対してこの手順を繰り返します。

IIS と TomcatIIS サーバーと Tomcat サーバー間の通信には、AJP が使用されます。IIS サーバー

を SSL 使用可能にすると、IIS サーバーとブラウザの間で安全な通信を十分に確立

できます。

注： この IIS サーバー・インストールを他の製品の Web サーバーとして使用す

る場合は、『Oracle Hyperion Enterprise Performance Management System インス

トールおよび構成ガイド』に記載されている追加構成手順を実行する必要

があります。

IIS と WebSphereWeb サーバーと WebSphere アプリケーション・サーバー間の SSL 通信を使用可能

にする場合は、Web サーバーをホストするコンピュータに GSKit をインストール

する必要があります。GSKit のインストール手順の詳細は、IBM のドキュメント

を参照してください。

EPM System アプリケーションをホストする WebSphere アプリケーション・サー

バーと IIS サーバー間の通信を確立するために必要な plugin-cfg.xmlファイル

は、EPM System コンフィグレータを使用してアプリケーションを配置するときに

自動生成されます。plugin-cfg.xmlファイルのデフォルトの場所は、

42 EPM System の Web サーバーの構成

HYPERION_HOME/deployments/WebSphere6/EPM_APP/profile/config/cellsで

す。たとえば、Oracle Hyperion(R) Web Analysis の場合、plugin-cfg.xmlは、C:/

Hyperion/deployments/WebSphere6/WebAnalysis/profile/config/cells内に

生成されます。

EPM System コンフィグレータにより、EPM System アプリケーションは WebSphere

プロファイルに配置されます。その結果、プロファイル全体の plugin-cfg.xml

を生成できるようになります。

plugin-cfg.xmlは、SSL 使用可能の WebSphere サーバーからのトランスポート情

報で更新する必要があります。トランスポート情報は、アプリケーション・サー

バーで生成された plugin-cfg.xmlから抽出できます。

ä EPM System 製品の plugin-cfg.xmlを生成するには、次の手順を行います:

1 コマンド・プロンプト・ウィンドウを開きます。

2 HYPERION_HOME/deployments/WebSphere6/profile/binディレクトリに移動しま

す。

3 GenPluginCfg.cmd (Windows)または GenPluginCfg.sh (UNIX)を実行します。

WebSphere サーバーでは、hyslCell内のすべての EPM System サーバーの

plugin-cfg.xmlが生成されます。このファイルは、HYPERION_HOME/

deployments/WebSphere6/profile/config/cells内に生成されます。

4 IIS を再起動します。

Shared Services への IIS プロキシ URL の登録

Oracle Hyperion Enterprise Performance Management System コンフィグレータで、IIS

プロキシ URL が Oracle Hyperion(R) Shared Services に直接登録されることはありま

せん。Oracle Hyperion Enterprise Performance Management System Web アプリケー

ションで IIS を Web サーバーとして使用する場合は、次の手順を手動で実行する

必要があります。この手順は、Apache Web サーバーを使用する場合は該当しませ

ん。

ä Shared Services に IIS プロキシ URL を登録するには、次の手順を行います:

1 Microsoft Word を開きます。

2 ファイル、開くの順に選択します。

3 ファイル名で、次の URL を入力します:

http://hss_server_name:port_no/interop/content (http://myServer:

28080/interop/contentなど)

4 adminユーザーとしてログインします。

5 files/Products/product_name/Published/を参照します。

6 存在するすべてのインスタンス・ファイルを開きます。

7 すべてのコンテキスト・ノードを右クリックし、属性を選択します。

IIS を使用する EPM System の構成 43

8 必要に応じて URL、ポート番号、および Web アプリケーションの論理名を変更しま

す。

9 文書を保存します。

44 EPM System の Web サーバーの構成

索引

A - ZActive Directory 情報ソース, 7

Administration Services クライアント

SSL 使用可能化, 33

Administration Services コンソール

HubUseSecure, 31

JVMOPTIONSCOUNT, 32

JVMOptionX, 32

SET_JAVA_OPTS ディレクティブ, 32

SSL 使用可能化, 31

Apache

EPM System 向けの構成, 37

HTTP サーバー情報ソース, 7

Tomcat 情報ソース, 6

APACHE_HOME, 20

BEA_HOME, 20

BIPLUS_HOME, 20

Calculation Manager

SSL 接続, 14

EAS_HOME, 20

EPM System

Apache を使用する構成, 37

IIS を使用する構成, 40

Oracle HTTP Server を使用する構成, 37

SSL 使用可能化, 27

SSL 使用可能にするための全般手順, 28

SSL モードでの配置, 20

SSL 用 Shared Services の構成, 21

Essbase

Administration Services クライアントの SSL 使

用可能化, 33

Administration Services コンソールの SSL 使用

可能化, 31

Essbase サーバーの SSL 使用可能化, 31

SSL 使用可能化, 30

SSL 接続, 14

ESSBASE_HOME, 19

Financial Management

SSL 使用可能化 , 33

SSL 接続, 17

Financial Reporting

RMI 通信の暗号化, 34

Foundation Services

Calculation Manager SSL 接続, 14

Performance Management Architect SSL 接続,

12

Shared Services SSL 接続, 11

Smart Space クライアント, 14

Smart Space サーバー, 14

Smart View SSL 接続, 12

SSL 使用可能化, 29

Tomcat での Smart Space, 30

Workspace SSL 接続, 11

HSS_HOME, 19

HTTP サーバー

Apache の構成, 37

Oracle Application Server の使用, 37

Tomcat の使用, 39

WebLogic の使用, 38

WebSphere の使用, 39

IIS の構成, 40

Oracle Application Server の使用, 41

Tomcat の使用, 42

WebLogic の使用, 41

WebSphere の使用, 42

IIS プロキシ URL の登録, 43

Oracle HTTP Server の構成, 37

HYPERION_HOME, 19

IHS

情報ソース, 7

IIS

EPM System 向けの構成, 40

Oracle Application Server を使用する構成, 41

Tomcat を使用する構成, 42

WebLogic を使用する構成, 41

WebSphere を使用する構成, 42

A - Z あ行 か行 さ行 た行 は行 や行

索引 45

情報ソース, 7

プロキシ URL の登録, 43

MSAD 情報ソース, 7

Novell eDirectory

情報ソース, 7

Oracle Application Server

Apache を使用する構成, 37

IIS の構成, 41

Shared Services の SSL 使用可能化, 23

情報ソース, 6

Oracle HTTP Server

EPM System 向けの構成, 37

情報ソース, 6

Oracle Internet Directory 情報ソース, 7

Oracle Virtual Directory 情報ソース, 7

ORACLE_AS_HOME, 20

Performance Management Architect

SSL 接続, 12

Performance Scorecard

SSL 接続, 18

Planning

SSL 使用可能化 , 33

SSL 接続, 16

Profitability and Cost Management

SSL 接続, 17

Reporting and Analysis

Financial Reporting RMI 通信の暗号化, 34

SSL 使用可能化, 34

SSL 接続, 15

Web Analysis の SSL 使用可能化, 34

RMI 通信の暗号化, 34

SET_JAVA_OPTS ディレクティブ, 32

Shared Services

SSL 接続, 11

ユーザー・ディレクトリの安全な接続, 11

ライフサイクル管理 SSL 接続, 11

Shared Services の SSL 使用可能化

Oracle Application Server, 23

Tomcat, 25

WebLogic, 24

WebSphere, 24

Smart Space クライアント

SSL 接続, 14

Smart Space サーバー

SSL 接続, 14

Smart View

SSL 接続, 12

SSL

EPM System の配置, 20

Shared Services の構成, 21

共通の操作, 18

証明書の取得, 19

必須の証明書, 18

SSL 使用可能化

EPM System, 27

Essbase, 30

Administration Services クライアント, 33

Administration Services コンソール, 31

サーバー, 31

Financial Management, 33

Foundation Services, 29

Tomcat での Smart Space, 30

Planning, 33

Reporting and Analysis, 34

Web Analysis, 34

Web Analysis, 34

全般手順, 28

SSL 接続

Calculation Manager, 14

Essbase, 14

Financial Management, 17

Foundation Services, 11

Performance Management Architect, 12

Performance Scorecard, 18

Planning, 16

Profitability and Cost Management, 17

Reporting and Analysis, 15

Shared Services, 11

Smart Space クライアント, 14

Smart Space サーバー, 14

Smart View, 12

Workspace, 11

ライフサイクル管理, 11

Sun ONE Directory Server 情報ソース, 7

Tomcat

Apache を使用する構成, 39

IIS の構成, 42

SET_JAVA_OPTS ディレクティブ, 32

Shared Services の SSL 使用可能化, 25

Smart Space の SSL 使用可能化 , 30

TOMCAT_HOME, 20

Web Analysis

SSL 使用可能化, 34

WebLogic

A - Z あ行 か行 さ行 た行 は行 や行

46 索引

Apache を使用する構成, 38

IIS の構成, 41

Shared Services の SSL 使用可能化, 24

情報ソース, 6

WebSphere

Apache を使用する構成, 39

IIS の構成, 42

Shared Services の SSL 使用可能化, 24

安全なユーザー・ディレクトリ, 27

署名者証明書, 27

署名者証明書の移行, 27

情報ソース, 6

WEBSPHERE_HOME, 20

Web サーバー

情報ソース, 6

前提条件, 5

Workspace

SSL 接続, 11

あ行アプリケーション・サーバー

情報ソース, 6

前提条件, 5

安全

WebSphere のユーザー・ディレクトリ, 27

安全な接続

ユーザー・ディレクトリ, 11

インポート

署名者証明書, 27

か行概要, 5

構成

EPM System と Apache, 37

EPM System と IIS, 40

EPM System と Oracle HTTP Server, 37

SSL 用 Shared Services

前提条件, 21

さ行証明書, 18

CA からの取得, 19

取得, 19

前提条件, 5

署名者証明書キーストア, 27

署名者証明書の移行, 27

情報ソース

Active Directory, 7

Apache HTTP サーバー, 7

Apache Tomcat, 6

IHS, 7

IIS, 7

MSAD, 7

Novell eDirectory, 7

Oracle Application Server, 6

Oracle HTTP Server, 6

Oracle Internet Directory, 7

Oracle Virtual Directory, 7

Sun ONE Directory Server, 7

WebLogic, 6

WebSphere, 6

Web サーバー, 6

アプリケーション・サーバー, 6

ユーザー・ディレクトリ, 7

前提条件

SSL 用 Shared Services の構成, 21

Web サーバー, 5

アプリケーション・サーバー, 5

証明書, 5

ディレクトリ・サーバー(ユーザー・ディレ

クトリ), 5

配置トポロジ, 5

た行通信用 SSL の使用可能化, 20

ディレクトリ・サーバー(ユーザー・ディレク

トリ)

前提条件, 5

登録

Shared Services に対するプロキシ URL, 43

は行配置, 19

配置トポロジ

前提条件, 5

配置場所のリファレンス, 19

場所のリファレンス, 19

APACHE_HOME, 20

BEA_HOME, 20

BIPLUS_HOME, 20

EAS_HOME, 20

ESSBASE_HOME, 19

A - Z あ行 か行 さ行 た行 は行 や行

索引 47

HSS_HOME, 19

HYPERION_HOME, 19

ORACLE_AS_HOME, 20

Reporting and Analysis ホーム, 20

TOMCAT_HOME, 20

WEBSPHERE_HOME, 20

必須の証明書, 18

プロキシ URL, 43

や行ユーザー・ディレクトリ

情報ソース, 7

前提条件, 5

A - Z あ行 か行 さ行 た行 は行 や行

48 索引