目次


IBM Cognos BI/TM1とTivoli Directory Serverの統合

CAM認証を使用したユーザー情報の共有化

Comments

1. はじめに

今や企業内の多くの社員が業務データに接続されたビジネス分析ツールにアクセスし、膨大なデータから情報を分析し、将来を予測することで企業全体のビジネス最適化を図る時代となっています。

IBM Cognos ソフトウェアの中で、IBM Cognos 8 Business Intelligence (以下 BIと記す)は、業務データからレポートを作成し可視化することで業績の確認・分析を助ける役を担います。また、IBM Cognos TM1(以下 TM1と記す)は、既存の業務データと試行入力データとの比較分析を多角的に行うことで現状分析・予測・プランニングを支援します。各企業の戦略的ビジネスインフラとして、こういったツールをいかに効果的に配置するかといったことが重要となっています。

これらのツールを使用する上では、企業内の大切なデータへの参照や書き込みを行うことになるため、各社員に適切なアクセス権が適用されるよう、設定および管理が必要となります。BIもTM1もそれぞれIBM Tivoli Directory Server(以下TDSと記す)などのディレクトリー・サーバーを外部認証ソースとして利用し、企業内の個人やグループに対しての細かいデータおよびオブジェクトへのアクセス権設定が可能です。

本稿では、TDSを外部認証ソースとして使用しているBIに、TM1を統合することで、BIとTM1で共通のグループ定義を使ったアクセス権設定が可能となることを示します。次の章でまずこの統合のメリットを具体的に示し、そのあと、実際のインストールおよび設定の説明を行います。

2. 統合のメリット

BIとTM1がどのように使用されるのかをまず簡単な例で示し、更に、統合することでどのようなメリットがあるかを説明します。

1)BIとTM1の使用例

BIとTM1を使用する一般的な例として、セールス/マーケティング/財務部門の範囲で使用するケースを考えます。

  • 各営業所のセールス担当者は、各自の来月のフォーキャストをTM1のWebクライアントであるTM1Web から入力し報告します。
  • マーケティングの担当者は、セールスが入力した来月のフォーキャストについて、TM1上で担当製品毎のビューで見ながら、予算に対する来月のシミュレーションを行います。BIで作成される過去の実績についての定型レポートを使って業務を遂行します。
  • 財務部門担当者については、BIを使った全社レベルでの予算と実績及びフォーキャストに基づく定型レポートが必要となります。

2)アクセス権の設定

BIもTM1も企業のクリティカルなデータを扱うツールであるため、各部門担当者に対してのアクセス権設定は慎重に実施され、管理および維持されている必要があります。また、個人やグループの職務、個人の役職等により細かく設定する必要もあり、社員や部門の異動のたびに変更も必要となることから、複雑で手間のかかる作業となります。

1)で示した使用例の場合、セキュリティーを考慮したアクセス権の設定は、部門単位のグループ分けを行った前提で表2-1のようになります。
尚、表の中で、BI上のアクセス権とは、個々のレポートやその他のコンテンツに対するアクセス権で、「読み取り」、「書き込み」、「実行」、「ポリシー設定」および、「移動」があります。通常、グループや役割を作成して、それぞれに適切なアクセス権を設定することで、必要な情報にのみアクセスできるように設定します。各ユーザーは、それぞれのグループや役割のメンバーとして構成されます。
TM1上のアクセス権とは、キューブに対するアクセス権を示し、「読み取り」、「書き込み」、「予約」、「ロック」、「管理」と「なし」があります。

表2-1. 各部門担当者のBIとTM1のオブジェクトに対する権限

ユーザーグループBI上のアクセス権TM1上のアクセス権
セールスなし書き込み
マーケティング実行書き込み
財務実行読み取り

BIもTM1も、それぞれでLDAPサーバー等の外部認証ソースを使ってのユーザー認証、データアクセス認可の設定ができます。これらはBIとTM1それぞれで管理・維持することも可能ですが、ユーザーやグループの追加や変更などを共通化できれば大きく手間を省けることから、統合の仕組みが提供されています。

3)CAM認証を使ったアクセス権設定の共通化

BIとTM1で、共通のグループ定義を使ったデータアクセス権設定を可能とするために、BIの持つCAM認証という仕組みが使用されます。

CAM(Cognos Access Manager)とは、BIの認証の仕組みで、外部認証プロバイダを使用して、ユーザー情報を利用するとともに、ログオンを許可する認証の機能を提供するコンポーネントです。

Cognos TM1のCAM認証とは、BIのユーザー情報を、TM1でも取り込んで使用できるようにした機能で、TM1 9.4からご利用になれます。これにより、ユーザーの設定作業が大きく簡略化可能です。
CAM認証を使用しない場合、TM1では、付属のETLDAPというツールを使用して、LDAPやActive Directoryサーバーからユーザー情報を取得します。ユーザー情報を取得した後、LDAPやActive Directory等のディレクトリー・サーバー内のユーザー情報が変化した場合は、その都度ETLDAPツールを用いて変更分を取り込む必要があります。
これに対してCAM認証では、BIの管理下のユーザーは、TM1へのログオン時に、自動的にTM1のセキュリティー・データベースに追加されますので、追加や変更の手作業が不要となります。ただしユーザー削除は自動では行われず、手動で行う必要があります。

図2-1. ユーザー情報統合のイメージ図
図2-1. ユーザー情報統合のイメージ図
図2-1. ユーザー情報統合のイメージ図

3. 統合作業の概要

これから、BI 8.4.1とTM1 9.4、TDS 6.2を統合させる手順をご紹介していきます。

手順は、以下の通りです。なお、1)、2)はBIの外部認証ソースとしてTDSを使う場合の設定と同等となります。3)の部分の作業が特に統合に関してのポイントとなります。

1)外部認証ソースの準備
ディレクトリー・サーバーのインストールとディレクトリー・ユーザーの作成を行い、TDSを外部認証ソースとして使用するための準備をします。

2)BI の構成とLDAP接続
BIで、TDSをLDAP接続の外部認証ソースとして接続します。

3)TM1のインストールと設定
TM1 Viewer ポートレットをインストールし、CAM認証を使用するための設定ファイルの変更を行った後、グループのインポートまでを行います。

4)統合の仕上げ
ユーザーがログオンするとTM1にユーザー情報が取り込まれますのでそれを確認します。

4. ディレクトリー サーバーのインストールとディレクトリー ユーザーの作成

それでは、まずTDSのインストールとユーザーデータの作成を行います。ここではbblomというユーザーを作成します。

手順の概要は以下の通りです。

  • IBM Tivoli Directory Serverのインストールとサーバーの起動(4.1)
  • Web管理ツールへの登録(4.2)
  • スキーマ モデルの適用とユーザーの作成(4.3)

4.1 インストール

インストールウイザードを使用して、IBM Tivoli Directory Serverおよび関連製品の導入を行います(図4-1)。ウイザードの途中で、ディレクトリー・サーバーと同時に導入されるDB2の管理者ユーザーのIDとパスワード、およびデフォルトで作成されるディレクトリー・サーバー・インスタンス dsrdbm01 について、所有者であるOS管理化のユーザー dsrdbm01 のパスワード、暗号化シード、一次管理者DN(cn=root)のパスワードを決めて入力します。

図4-1. インストールウイザードで導入される製品のリスト
図4-1. インストールウイザードで導入される製品のリスト
図4-1. インストールウイザードで導入される製品のリスト

4.2 インストール後の作業

インストールが終了したら、以下の手順を踏みます。詳しい手順については、本稿末の参考文献の[IBM Tivoli Directory Serverインストールと構成のガイド]を参考としてください。

1) 「インスタンス管理ツール」でインスタンスを作成
デフォルトではdsrdbm01のサーバーインスタンスが作成されています。Windowsスタートメニューから「インスタンス管理ツール」を起動し「Start/Stop」ボタンで、インスタンスを開始します。

2) Web管理ツールへの登録を実施
この後のディレクトリー・サーバーに対する設定は「Web管理ツール」で行います。「Web管理ツール」も、Windowsスタートメニューからの起動です。ツール上のデフォルトの管理者IDは "superadmin" で、パスワードが "secret" となっています。

4.3 スキーマ モデルの適用とユーザーの作成

Web管理ツールを使ってスキーマモデルの適用およびユーザーデータの作成を行います。ここでは図4-2のモデルを使うこととし、このモデルでbblomというユーザーを作成することとします。詳しい手順については、本稿末の参考文献の[IBM Tivoli Directory Serverインストールと構成のガイド]を参考としてください。

図4-2. 使用するスキーマモデル
図4-2. 使用するスキーマモデル
図4-2. 使用するスキーマモデル

(手順の概要)

  1. サフィックスの追加
    まず、ディレクトリーツリーの最上部であるサフィックスを o=cognos, c=jp として定義します。
  2. organizationオブジェクトの追加
    organizationオブジェクトを追加し、必須属性の「識別名(DN)」の[相対DN]で o=cognos, c=jp を、必須属性でも o=cognos, c=jp を指定します。
  3. ユーザーテンプレートの追加
    ユーザーテンプレートとして、ユーザー用/グループ用それぞれのテンプレートを作成します。
    ユーザー用では、親DNに o=cognos, c=jp を指定。構造化オブジェクトクラスとして inetOrgPerson を選択します。
    グループ用では、親DNに o=cognos, c=jp を指定。構造化オブジェクトクラスとして groupOfNames を選択します。
  4. レルムの追加
    ユーザーおよびグループの上位階層のレルムを定義します。親DNに o=cognos, c=jp を指定。管理者グループ、グループコンテナー、ユーザーコンテナーに cn=realm1, o=cognos, c=jpを指定。ユーザーテンプレートに cn=usertemp1, o=cognos, c=jpを指定します。
  5. グループの追加
    グループの作成を行います。レルムに realm1 を指定して、2章の例に従って、テスト用にSales、MKTG、Financeを追加します。
  6. ユーザーの追加
    最後にユーザーを作成します。
    レルムに realm1 を指定します。uidに bblom、userPasswordに適当なパスワード、snに Blom、cnに Bengt Blom、グループにFinanceを指定します。

5. BIの構成とTDSの接続

BIへのログオン・ユーザー管理のため、TDSをLDAPタイプの外部認証ソースとして登録します。BIのインストールと構成については、 「IBM Cognos 8 Business Intelligence インストールおよび設定ガイド」を参考としてください。IBM Cognos BIはスケーラブルなマルチサーバー構成が可能ですが、ここでは一台構成のシステムを前提とします。

外部認証ソースの登録は、Cognos Configuration上で行いますが、TDSをLDAPネームスペースとして定義する際、以下の例のように設定を行います(図5-1)。詳しい手順については、本稿末の参考文献の「LDAP を使用するための IBM Cognos 8 コンポーネントの設定」を参考としてください。

(例)
名前: TDS1
タイプ: LDAP
ネームスペースID: TDS1
ホスト名とポート番号: wtoktivoli:389
基本識別名: cn=realm1,o=cognos,c=jp
ユーザー検索: (uid=${userID})
グループマッピング
オブジェクトクラス: groupofnames
メンバー: member

なお、登録が完了したら、匿名ログインを解除することで、TDSユーザーによるログインを必須とします。Cognosのサービスを再起動後、設定が有効となり、Cognos ConnectionなどによるCognos BIへのアクセスは、TDS内のユーザーIDとパスワードの入力が要求されるようになります。BIのCAMからTDSに接続し、TDSによる認証が行われ、その結果でログインを完了させるようになります。

図5-1. TDSを外部認証ソースとして登録
図5-1. TDSを外部認証ソースとして登録
図5-1. TDSを外部認証ソースとして登録

6. TM1のインストールと設定

6.1 TM1 Viewer ポートレットのインストール

TM1WebでBIのCAM認証を使用するためにはTM1 Viewer ポートレットが必要なため、まず始めに、これをインストールします。BI 8.4.1を使用する場合、インストールの場所は、BIをインストールしたディレクトリーとは違う場所へインストールします。

* IBM Cognos TM1のバージョン 9.4 または 9.5 を、IBM Cognos 8 BI バージョン 8.4.1 のダッシュボードで確実に動作させるには、別途作業が必要になります。
詳細については、本稿末の参考文献にある、「IBM Cognos 8 BI の バージョン 8.4.1 と IBM Cognos TM1 製品のバージョン 9.4 またはバージョン 9.5 間の相互運用の構成」をご参照下さい。

6.2 TM1の設定ファイルを編集

TM1 サーバーで BIのセキュリティーを有効にするには、TM1サーバーの“tm1s.cfg”ファイルのパラメータに、BIのゲートウエイURIと内部ディスパッチャURIのアドレスを追加し、以下の様に変更する必要があります。編集する前に、TM1サーバーのプロセスを終了しておきます。

(手順)

1)各TM1サーバーのtm1s.cfgの変更

 
ClientCAMURI=http://<hostname>/cognos8/cgi-bin/cognos.cgi
	ServerCAMURI=http://<hostname>:9300/p2pd/servlet/dispatch
	CAMPortalVariableFile=portal\variables_TM1.xml
	ClientPingCAMPassport=900

	IntegratedSecurityMode=2
	
* <hostname>にはlocalhostではなく、hostnameやIPアドレスを指定するようにします。
* ClientCAMURIには、認証に使用するBIのゲートウエイサーバーのゲートウエイURIを指定します。
ゲートウエイURIは、BIサーバーのCognos Configurationで確認できます。
* ServerCAMURIには、認証に使用するBIサーバーの内部ディスパッチャURIを指定します。
こちらもBIサーバーのCognos Configurationで確認できます。
* CAMPortalVariableFileは、TM1Web用に必要なパラメータです。
variables_TM1.xmlは、TM1 Viewer ポートレットのインストールに含まれます。

2)tm1p.iniの変更
“tm1p.ini”ファイルに、以下の 2 つのパラメータを追加して、IBM Cognos TM1クライアントから IBM Cognos 8 のセキュリティー情報のインポートができるようにします。
管理ユーザーの以下のフォルダーにあるtm1p.iniを変更します。

 
C:\Documents and Settings\<user>\Application Data\Applix\TM1
	AllowImportCAMClients = T
	CognosGatewayURI = http://<hostname>/cognos8/cgi-bin/cognos.cgi

* CognosGatewayURIには、ClientCAMURIと同様に、認証に使用するBIのゲートウエイサーバーのゲートウエイURIを指定します。

以上が完了したらTM1サーバーのプロセスを開始します。

6.3 ユーザー情報のインポート

TM1で管理者として定義されたユーザーは、BIのCAMで管理されるグループを TM1 にインポートできます。インポートするのは、TM1 サーバーへのアクセスを許可するグループのみにしてください。BIに登録されているユーザーのうち、TM1の管理者として登録するユーザーの設定は、このステップで行います。

(手順)

1)TM1 ArchitectやTM1 Perspectiveを使用して、TM1認証の管理者でログオンします。

2)TM1のメニューから、[Server] --- [Security] --- [Clients/Groups]を実行します。

3)Groupを追加します。
Add NewGroupを実行すると、CAMのログオンプロンプトが現れるのでログオンします。さらに図6-1にあるように、BIに設定されているTDS1ネームスペースのGroupを選択します。

*この時、LDAPやActive Directoryで設定されているGroupを使用すると、所属するユーザーが変更された場合でも、自動的に変更がTM1に反映されます。

図6-1. BIに設定されているグループの選択
図6-1. BIに設定されているグループの選択
図6-1. BIに設定されているグループの選択

4)ユーザー(上記Groupに属していないユーザー)を追加します。

  • Add New Clientsを実行
  • BIに設定されているユーザーを追加
  • 管理ユーザーとして使用するユーザーを、TM1の"ADMIN"グループへ追加

5)TM1サーバーを停止します。

6)TM1s.cfgの変更を行います。
IntegratedSecurityMode=4へ変更

7)TM1サーバーを起動します。

7. 統合の仕上げ

これまでの作業で、BIのセキュリティー情報をTM1で利用する準備が整いました。次のステップで、BIに登録されたユーザーの情報がTM1に取り込まれることを確認します。
6で行った作業の後、TDSのユーザー(bblom)でログオンすると、セキュリティーが図7-1のように変化します。

図7-1. ユーザーの追加を確認
図7-1. ユーザーの追加を確認
図7-1. ユーザーの追加を確認

自動的にユーザーが追加され、グループとのマッピングが行われたことが分かります。以上の作業により、IBM Cognos 8 BIのユーザー情報を、IBM Cognos TM1で同様に使用できるようになりました。

8. まとめ

BIとTM1、そしてTDSを統合することで、BIとTM1で共通のグループ定義を使ったアクセス権設定が可能となることを示してきました。このように、二つのシステムで共通のグループ定義を使用することにより、それぞれのグループのメンバーを自動的に共有することが可能となり、管理者の負担を大きく軽減できます。

尚、これまでにご紹介した作業について詳しくお知りになりたい場合は、「TM1 インストール ガイド」の、「TM1 での IBM Cognos 8 セキュリティーの使用」と、「Integrating TM1 9.4 and IBM Cognos 8.4」を合わせてご参照下さい。


ダウンロード可能なリソース


関連トピック


コメント

コメントを登録するにはサインインあるいは登録してください。

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=60
Zone=Information Management
ArticleID=618599
ArticleTitle=IBM Cognos BI/TM1とTivoli Directory Serverの統合
publish-date=01202011