レベル: 初級 井上 和哉, システム・テクニカル・サービス・センター、第三IMテクニカル・サポート, 日本アイ・ビー・エム株式会社
善家 直己, ソフトウェア開発研究所 IM開発, 日本アイ・ビー・エム株式会社
中山 恭與, ソフトウェア開発研究所 IM開発, 日本アイ・ビー・エム株式会社
冨永 康之, ソフトウェア開発研究所 IM開発, 日本アイ・ビー・エム株式会社
2009年 8月 20日 IBM Cognos 8 BI は、企業内の膨大なデータを意思決定に活用するためのビジネス・インテリジェンス機能を提供する製品です。単一のサービス指向アーキテクチャー (SOA)上に構築されており、情報の一貫性維持および統制に優れたプラットフォームです。また、IBM Tivoli Access Manager for e-businessは、複数のWebアプリケーションに対して一元的なアクセス管理を実現する製品です。不正アクセスを防止しながらユーザーの利便性を向上させます。この記事では、IBM Cognos 8 BIとIBM Tivoli Access Manager for e-business を統合し、シングルサインオンを実現した設定例を示します。なお、異なるオプションで構成する場合には事前に動作確認されることをお勧めします。
IBM Cognos 8 BI
IBM Cognos 8 BI は、単一のサービス指向アーキテクチャー (SOA) プラットフォームの上で、最適な意思決定を行うために必要となる様々なビジネス・インテリジェンス機能を提供する製品です。レポート、分析、ダッシュボード、スコアカードによって、ビジネスのパフォーマンス監視、傾向の分析、結果の測定を行います。全ての機能が共通のメタデータモデル(DBへアクセスする辞書)を使用できることが特長で、特に情報の一貫性維持や統制の観点で優れた製品です。
IBM Tivoli Access Manager for e-business
Tivoli Access Manager for e-businessは、Webアプリケーションに共通のセキュリティー・ポリシーを実装して、一元的なアクセス管理を実現する製品です。ポリシー・ベースのシングル・サインオン環境を構築することで、不正アクセスを防止しつつユーザーの利便性を向上させます。
IBM Cognos 8 BI とIBM Tivoli Access Manager for e-businessの連携
両製品を連携させたイメージを図1に示します。
図1. IBM Cognos 8 BI とIBM Tivoli Access Manager for e-business の連携イメージ
- ログインを行う際、ユーザーはまずTivoli Access Manager for e-business(図1中TAM)にログインします。
- Tivoli Access Manager for e-businessへのログインに成功すると、ユーザーIDを含んだHTTPリクエストがCognos 8 BIに送られます。
- Cognos 8 BIでは、受け取ったユーザーID情報を元に必要な情報をTivoli Directory Server(図1中TDS)から受け取り、Cognos 8 BI側のログインも自動で完了します。
これら一連のログイン処理が完了した後、Tivoli Access Manager for e-businessはブラウザとCognos 8 BIサーバーとの間の通信を仲介し、ログイン済みユーザーであることの確認を行います。
前提条件の確認
本ドキュメントではTivoli Access Manager for e-business V6.1 Windows版およびCognos 8 BI 8.4 Windows版がインストール済であることを前提とし、Tivoli Access Manager for e-businessのTransparent Junctionを使用し、Cognos 8 BIのQuery Studio、Analysis StudioおよびReport Authoringを対象に動作確認を実施しています。
Junctionについて
Tivoli Access Manager for e-businessでは、リクエスト転送先となるバックエンドサーバーを判断するために「Junction」と呼ばれる仕組みを持っています。Junctionには3つの種類がありますが、筆者らは前提条件で述べたようにTransparent Junctionと呼ばれる種類を使用しました。ここでは3種類のJunctionについて概要を紹介します。
Transparent Junction
Transparent Junctionを使用する場合、ユーザーからのリクエストを受けたTivoli Access Manager for e-businessのサーバー(図2ではホスト名TAMServer)は、ログインの確認を行った後にURLのホスト名部分をバックエンドサーバーのもの(図2ではホスト名BIServer)に変換して転送します。どのバックエンドサーバー(=アプリケーション)に転送するかはコンテントルート(図2では“/cognos8”)を見て判別します。ジャンクション名を意識したサーバー相対パスの変換が必要ないため、多くのアプリケーションに対して特別な設定をせずに適用できるJunctionタイプです。
本記事の構成法の説明ではこのTransparent Junctionを使用します。
図2. Transparent Junction
Standard Junction
Standard Junctionでは、リクエストを転送するバックエンドサーバーを判別するためのJunctionパス名(図3の例ではjunc1)がリクエストURLに付加されます。ユーザーからのリクエストを受けたTivoli Access Manager for e-businessサーバーは、リクエストのURLに含まれるJunctionパス名により転送先のバックエンドサーバー(アプリケーション)を決定し、Junctionパス名を除いてリクエストを転送します。もしもクライアントからJunctionパス名が付かないリクエストが送られてきた場合には、あらかじめ設定したマッピングテーブルのルールに適合するリクエストについて対応するサーバーへの転送を行います。
図3. Standard Junction
Virtualhost Junction
Virtualhost Junctionでは、ユーザーからのリクエストURLに含まれるホスト名がアプリケーション毎に異なります。Tivoli Access Manager for e-businessサーバーは、リクエストURLに含まれるサーバー名により転送先のバックエンドサーバー(アプリケーション)を決定します。この際、URLに仮想ホスト名(図4ではVHost1)を使用しており、全くURLを変換しないためURL変換に伴う問題が発生する恐れがありません。ただし適切なDNS設定が必要となること、複数のアプリケーションを構成する場合複数の証明書が必要になること等が考慮点となります。
図4. Virtualhost Junction
作業の流れ
これから行う作業の流れを以下に示します。
- ユーザーデータの作成:Tivoli Access Manager for e-businessに含まれるTivoli Directory Serverにてユーザーデータを作成します。
- WebSEALの構成:Tivoli Access Manager for e-businessのメインコンポーネントであるWebSEALにJunctionを作成し、ユーザーの情報をインポートします。
- Cognos 8 BIの構成: Tivoli Access Manager for e-businessと連携できるようにCognos 8 BIを構成します。
- 動作確認:IBM Congos 8 BIとIBM Tivoli Access Manager for e-businessの連携が正しく構成されているか、動作確認を行います。
それでは、実際の作業を見ていきましょう。
ユーザーデータの作成
ログインするために必要なユーザーデータをTivoli Access Manager for e-businessに含まれるTivoli Directory Server上で作成します。ユーザーデータのモデルは用途に合わせて適切な物を使用してください。ここでは例として図5に示すモデルを作成し、WebSEALやCognos8の構成に使用します。
図5. ユーザーデータのモデル
サフィックスの作成と構成
今回はtest.jpという組織についてユーザーモデルを作成します。LDAPのモデルにおいてツリー構造の最上位部分をサフィックスと呼びますが、今回はサフィックス「o=test,c=jp」を作成します。このサフィックスは組織を表しているので、構造化オブジェクトクラス「organization」を指定し、その必須属性には「test」という値を入れることにしました。
ユーザー・テンプレートとレルムの作成
ユーザーを作成するための型となるユーザー・テンプレートと、グループを表すレルムを作成しておきます。まずユーザー・テンプレート「usertemp1」を作成し、以下のように構成します。
- 親DN:o=test,c=jp
- 構造化オブジェクトクラス:inetOrgPerson
- 補助オブジェクトクラス:[空]
- 命名属性:uid
- 必須属性:
レルム「realm1」を作成し、以下のように構成します。
- 親DN:o=test,c=jp
- ユーザー・テンプレート:cn=usertemp1,o=test,c=jp
ユーザーIDの作成
ユーザー「testuser1」を作成します。レルムには「realm1」を指定します。
WebSEALの構成
Tivoli Access Manager for e-businessのメインコンポーネントである「WebSEAL」にJunctionを作成し、ユーザーの情報をインポートします。今回は、WASの管理コンソールの中に統合されたTivoli Access Manager for e-businessの「Web Portal Manager」から設定を行う方法をご紹介します。
Junctionの追加
「Junctionの作成」画面で以下の情報をインプットします。
- Junction ポイント:BIアプリケーションのコンテキストルート(“/cognos8”)を指定します
- ターゲットホスト:BIサーバーのアドレス。
- TCPポート:80
- 以下の3つの項目をチェック
- ユーザー名(ショート)
- クライアントIPヘッダーの挿入
- Transparent-Path Junction
図6. Junctionの追加
この設定によって、WebSEALは“/cognos8”で始まるリクエストをBIサーバーに転送します。その際、HTTPヘッダーにユーザー名を挿入してBI側に引き渡します。
ユーザーのインポート
「ユーザーのインポート」画面で、作成していたユーザーの情報をインプットしてインポートします。
- ユーザーID:tester1
- レジストリーUID:uid=tester1, cn=realm1, o=test, c=jp
図7. ユーザーのインポート
この設定によって、ユーザー“tester1”でWebSEALにログインできるようになります。
Cognos 8 BIの構成
Cognos 8 BI側で構成を行い、Tivoli Access Manager for e-businessと連携できるようにします。この構成はCognos Configurationから行います。
次に、Tivoli Directory Serverを使ったLDAPタイプのネームスペースを追加します。(この例では名前を「TDS」とします。)ネームスペースのリソースプロパティのパネル(図8)で以下の設定を行います。
- ネームスペースID:(任意、この例では”TDSns”とします。)
- ホスト名とポート番号:(”<TDSホスト名>:<ポート番号>”の形式で入力します。)
- 基本識別名:cn=realm1, o=test, c=jp
- ユーザー検索:(uid=${userID})
- 外部IDを使用:有効
- 外部IDマッピング:“ (uid=${environment("iv-user")})”
※Cognos8 BIのCGIゲートウェイを使用する場合には、iv-userではなくHTTP_IV_USERを使用します。
- ユーザーのDNとパスワードをバインド:Tivoli Directory ServerにログインするためのユーザーIDとパスワードを入力します(“cn=root”など)。
図8. Cognos Configuration の設定
ここで簡単に設定の意味を説明します。Cognos 8 BIは外部(WebSEAL)から転送されたリクエストのHTTPヘッダーにおける“iv-user”(CGIゲートウェイを使用する場合は“HTTP_IV_USER”)の値をユーザーIDと見なし、基本識別名と組み合わせてユーザー固有の識別名(例:“uid=tester1, cn=realm1, o=test, c=jp”)を判断します。そして、この識別名に対応するユーザー情報をTivoli Directory Serverから取得して自動でCognos 8 BIへのログイン処理を完了します。
設定が終わったら、保存してCognos8サービスを再起動させます。
動作確認
まず、確認のため直接BIサーバーにアクセスします。(http://<BIサーバーのアドレス>/cognos8)
Cognos Connectionのログイン画面が表示されるので先程作成したユーザーID(tester1)とパスワードを入力します。この場合、BIからTivoli Directory Serverに対して認証情報の確認が行われます。
図9. Cognos 8 BI へ直接ログイン
ログインできれば、Cognos 8 BIとTivoli Directory Serverとの連携が正しく設定されています。
次にTivoli Access Manager for e-businessサーバー(WebSEAL)経由でBIサーバーにアクセスします。(http://<TAMサーバーのアドレス>/cognos8)。Tivoli Access Manager for e-businessのログイン画面が表示されるのでIDとパスワードを入力します。
図10. Tivoli Access Manager for e-businessサーバー(WebSEAL)経由でログイン
Tivoli Access Manager for e-businessにログインすることでCognos 8 BIへのログインが完了しCognos Connectionの画面が表示されれば、両製品の連携によるシングルサインオンの成功です。
補足
- アプリケーションによっては、Tivoli Access Manager for e-businessからのセッションクッキーの受け渡しを正しく行うために追加の設定が必要な場合があります。必要に応じて以下の設定を行ってください。
- Junctionを作成する際に「WEBSeal Cookieの挿入」をチェックする。
- Cognnos Configurationの、「操作 → グローバル設定を編集…」メニューで、「全般」タブを開き、「クッキー設定」のパスに“/”を設定する。
- Cognos 8 BIのログオフボタンを隠したい場合には、system.xmlファイルを使用してカスタマイズを行うことができます。例えば、<c8>\templates\ps\system.xml ファイルと <c8>\templates\ps\portal\system.xmlに以下の行を加えます。
<param name="ui_hide">
<CC_HEADER_MENU_logoff/> <RV_HEADER_MENU_LOGOFF/>
</param>
- Cognos 8 BIが独自にセッションタイムアウトすることを回避するために、Tivoli Access Manager for e-businessのセッションタイムアウト時間をCognos 8 BIのセッションタイムアウトよりも少し短い時間に設定する方法があります。セッションタイムアウト時間の設定方法についてはそれぞれのマニュアルを参照ください。
まとめ
IBM Congos 8 BIをIBM Tivoli Access Manager for e-businessと連携させる方法を紹介しました。Cognos 8 BI以外のアプリケーションも連携させることによって、不正アクセスを防ぎながら一度のサインオンで様々なアプリケーションを使用できる環境が実現します。
注意事項
IBM Cognosでは、IBM Tivoli Access Manager for e-business との連携について、この記事で紹介した構成以外に様々な設定でテストを行いました。ただし、IBM Tivoli Access Manager for e-business を含む構成にはさまざまなバリエーションがあるため、そのすべてを網羅したテストを行い、完全な動作を保証することはできません。また構成によっては、ここで紹介した設定以外の対応が必要になる場合もあります。問題が発生した場合は、どちらのコンポーネントで発生した問題かを切り分けた上で、IBM Cognos のカスタマーサポートに問い合わせください。参考文献にあるIBM Cognos 8 BI 8.4 Software Environments および Cognos - Unsupported Environment Policy もご参照下さい。
Due to the number of configuration settings within the Webseal application, this introduces a very large set of combinations of configuration parameters. Although IBM Cognos does testing with a defined set of parameters to ensure that the application does not exhibit any adverse behavior, it is impossible to test all of the various parameter combinations hence there is no general "supported" or "unsupported" statement for IBM WebSeal/TAM.
Rather IBM Cognos documents the tested configuration settings in documents like this one and provides guidance to clients. Any derivation from the tested configurations may introduce unforeseen challenges which have to be handled on a case-by-case basis.
If an issue is encountered, it first must be determined whether the root cause is due to the manipulation that Webseal may do to the request, or if it is due to a programming oversight within the Cognos application. It is not sufficient to say that if the problem exists within Webseal but does not occur outside of the Webseal environment, that the issue is due to Webseal and therefore won't be addressed by IBM Cognos.
In most cases, a detailed examination must be done by IBM Cognos Customer Support to identify the root cause of the issue. Customers are explicitly asked to report any such issue to IBM Cognos Support immediately.
参考文献
著者について  | 
| | 井上和哉はさまざまなお客様先でのシステム・エンジニアとしての経験をもとに、2003年よりビジネス・インテリジェンスとパフォーマンス・マネジメント(Cognos)において、主にインフラストラクチャにおける再現が困難な問題判別を中心にトラブルサポートを実施してきました。現在は日本アイ・ビー・エム、システム・テクニカル・サービス・センターに所属し、障害時の緊急サポートやビジネス・インテリジェンスの技術情報公開の仕事に従事しています。 |
| 
| | 善家 直己はソフトウェア開発研究所のエンジニアです。FileNet製品、Cognos製品における日本市場向けテスト(JMAT)におけるテクニカルリードを努めています。 |
| 
| | 中山 恭與はソフトウェア開発研究所のエンジニアです。Cognos製品における日本市場向けテスト(JMAT)に携わっています。 |
| 
| | 冨永 康之はソフトウェア開発研究所のエンジニアです。Cognos製品における日本市場向けテスト(JMAT)に携わっています。 |
記事の評価
| 
