対象製品
- SAP BusinessObjects Web Intelligence 4.1 SP4
対象読者
- SAPコンサルタント
- SAPハードウェアパートナー
- SAPご使用中のお客様(管理者、レポート作成者、ドキュメント移行担当者)
1 この文書について
この文書はSAP Community Network掲載のホワイトペーパー『How Security Rights are Migrated between 3.x and 4.0.3 Whitepaper』の記述を参考に、Web Intelligenceバージョン3.1とバージョン4.1のセキュリティ権限の比較、および移行に関する考慮事項についてまとめたものです。
対象読者
この文書はSAP BusinessObjectsの管理者およびレポート作成者を対象としています。
本書の内容
バージョン4においてWeb Intelligenceのユーザーインターフェースが刷新されたことに伴い、Web Intelligenceアプリケーションに関連するセキュリティ権限についても変更が行われました。バージョン3.1と比較して名称が変更になった権限、使用されなくなった権限があるため、バージョン4.1環境へWeb Intelligenceドキュメントを移行する際にはセキュリティ設定の修正、定義の見直しが必要となります。
この文書では、SAP BusinessObjects Web Intelligenceに関するセキュリティ設定について、バージョン4.1における変更点、およびバージョン3.1からの移行に関する情報について説明します。
バージョン4における変更点の概要
ユーザーインターフェースの再設計に伴い、バージョン4で廃止されたセキュリティ権限があります。例えば、バージョン3では「ツールバー」が存在し、ツールバーの表示/非表示をセキュリティ権限により制御することができますが、バージョン4では「ツールボックス」に置き換えられたため、このセキュリティ権限は削除され、ツールボックスは常時表示されます(ただし、ログオンしたユーザーの権限により、ツールボックス上の一部の機能を無効化することができます)。
また、セントラル管理コンソール(CMC)において、一部の権限の設定に関するメニューの配置が変更されています。詳細については製品マニュアル『SAP BusinessObjects Business Intelligence管理者ガイド』を参照してください。
2 本文書の構成
2.1 新旧権限名の表記法
この文書では、バージョン3.1および4.1のセキュリティ権限名称を区別しやすいよう、それぞれ下記のスタイルで表記します。
- バージョン3.1のセキュリティ権限名称の表記
バージョン3.1のセキュリティ権限名称は「SQLの表示」のように太字で表します。
- バージョン4.1のセキュリティ権限名称の表記
バージョン4.1のセキュリティ権限名称は「クエリスクリプト - 表示を有効にする (SQL、MDX...)」のように下線付き太字で表します。
(表記例)
「SQLの表示」の新しい名称は「クエリスクリプト - 表示を有効にする (SQL、MDX...)」です。
2.2 Web Intelligenceインターフェースの名称
この文書では、Web Intelligenceで利用可能な3種類のインターフェースについて、それぞれ以下のように表記します。
- リッチインターネットアプリケーション
Javaランタイムを使用するインターフェースです。バージョン3.1では「Javaレポートパネル」とも呼ばれています。
- Webインターフェース
バージョン3.1では「DTHMLレポートパネル」とも呼ばれています。
- リッチクライアント
Windowsデスクトップアプリケーションを使用するインターフェースです。
3 Web Intelligenceアプリケーション権限に関する変更点
このセクションではWeb Intelligenceのアプリケーション権限について、バージョン3.1とバージョン4.1との差異を説明します。
3.1 バージョン4.1で廃止された権限
下表はバージョン4.1で使用されなくなった権限の一覧です。
カスタムアクセスレベルなど、これらのアクセス権を含むオブジェクトをバージョン3.1からバージョン4.1へ移行する場合、該当する権限がバージョン4.1に存在しないため、これらの権限は無効化されます。
3.2 バージョン4.1で変更された権限
3.2.1 Webインターフェース固有権限の汎用化
バージョン3.1でWebインターフェース(DHTMLインターフェース)固有のものとされていた権限は、バージョン4.1ではWeb Intelligenceの3種類のインターフェース共通の権限へと変更されました。変更が行われた権限について、バージョン3.1とバージョン4.1との対比を下表にまとめています。
バージョン3.1環境においてWebインターフェースに関するこれらの権限がユーザーに対して許可/拒否されている場合、バージョン4.1においても該当する権限がユーザーに許可/拒否されます。さらに、これらの権限設定はWebインターフェースだけでなく、リッチインターネットアプリケーションおよびリッチクライアントにも適用されます。
ただし、例えばバージョン3.1において「Javaレポートパネルの有効化」が許可されていない場合は、バージョン4.1環境においてもリッチインターネットアプリケーションの使用は許可されません。そのようなケースでは、上の表の権限もリッチインターネットアプリケーションに対して暗黙的にすべて拒否に設定されます。
3.2.2 権限名称の変更
下表はバージョン4.1で名称が変更されたセキュリティ権限の一覧です。
3.3 バージョン4.1で追加された権限
バージョン4.1ではいくつかの権限が追加されています。下表は追加された権限およびその説明をまとめたものです。
4 Web Intelligenceドキュメント権限に関する変更点
このセクションではWeb Intelligenceドキュメントに対するコンテンツ権限について、バージョン3.1とバージョン4.1との差異を説明します。
4.1 バージョン4.1で廃止された権限
以下の権限はバージョン4.1では使用されなくなりました。
- オブジェクトに関連するファイルをダウンロード
4.2 バージョン4.1で追加された権限
Web Intelligenceの特定の権限として、以下の権限がバージョン4.1で追加されました。
- CSV として保存 (所有者の権限)
- Excel またはテキストとして保存 (所有者の権限)
- PDF として保存 (所有者の権限)
- SQL の表示 (所有者の権限)
- クエリの編集 (所有者の権限)
- レポートのデータをエクスポートする (所有者の権限)
- レポートのデータを最新表示する (所有者の権限)
- 値の一覧の使用 (所有者の権限)
- 値の一覧の最新表示 (所有者の権限)
また、Web Intelligenceの一般的な権限として、以下の権限がバージョン4.1で追加されました。
- オブジェクトの翻訳
- ユーザが所有するオブジェクトの翻訳
- ドキュメントのコメント
- ユーザが所有するドキュメントのコメント
- ドキュメントのコメントを表示
- ユーザが所有するドキュメントのコメントを表示
5 バージョン3.1からバージョン4.1への移行に関する考慮事項
5.1 BI OnDemand関連の権限を設定している場合の注意点
以下の2つの権限はバージョン3.1 SP4で追加されましたが、バージョン4.0.3では欠落しています。
- このユーザーに対して BI OnDemand からのインポートを無効にします
- このユーザーに対して BI OnDemand へのエクスポートを無効にします
このため、バージョン3.1 SP4環境でこれらの権限を設定している場合、移行ターゲットとして必ずバージョン4.0 SP4(4.0.4)以降を使用するよう注意してください。
なお、上記の権限はバージョン4.1 SP4では以下の名称で再度追加されています。
- このユーザの BI OnDemand からのインポートを無効にする
- このユーザの BI OnDemand へのエクスポートを無効にする
5.2 バージョン4.1で廃止対象となっている権限を含むオブジェクトの移行
バージョン4.1で廃止されている権限をバージョン3.1のセキュリティ設定で使用している場合、それらのオブジェクトのセキュリティ設定をバージョン4.1環境で確認すると、「不明なアクセス権」と表示されることがあります。
この事象は仕様により起こるものであり、詳細および解決方法はKBA#1592113としてサポートサイトに公開されています。
5.3 レポートフィルタ操作に関連するアプリケーション権限の確認
バージョン4.1では、ドリル、入力制御やレポートフィルタなどに関連する操作を制御する権限として、以下の2つが新たに追加されています:
- レポーティング - 入力コントロールの作成と編集
- レポーティング - 書式設定を有効にする
バージョン3.1からの移行完了後はこれらの権限は「許可」に設定されています。バージョン4.1環境においてユーザーに適切な権限付与が行われるよう設定を確認してください。
5.4 「デザイン」ボタンの表示制御
「3.3 バージョン4.1で追加された権限」で説明したとおり、バージョン4.1のWeb Intelligenceレポート上でドリルやフィルタなど対話的な分析を行いたいユーザーには、アプリケーション権限「レポーティング - 書式設定を有効にする」を付与する必要があります。しかしながら、この権限はレポートの書式変更にも関連しており、この権限を付与することによってWeb Intelligenceインターフェース上の「デザイン」ボタンの使用がユーザーに許可されます。
例えば、ドリルやフィルタ操作を許可する一方で、レポートの体裁や書式変更をユーザーに行わせたくない場合は、セキュリティ設定の調整やインターフェースのカスタマイズによる工夫が必要です。
実装案の1つは 『KBA#2058429 - How to disable Design button for reports only in public folders and leave it availabl...にて説明されている方法です。
この案は「デザイン」ボタンの使用可否を制御することよりも、パブリックフォルダ内のレポートを変更から保護することを目的としており、Web Intelligenceアプリケーション権限「レポーティング - 書式設定を有効にする」を「許可」に設定すると同時に、パブリックフォルダのユーザーセキュリティとしてWeb Intelligenceドキュメントのコンテンツ権限「オブジェクトを編集する」を「拒否」に設定することにより実装します。
もう1つの実装案は『KBA# - How to grant filtering functionality for Web Intelligence reports without enabling the Desig...にて説明されている方法です。
これは特定のユーザーグループについてWeb Intelligenceインターフェースから「デザイン」ボタンを非表示にする方法で、バージョン4.1から利用可能な「カスタマイゼーション」機能を利用したものです。
各案の詳細についてはそれぞれのKBAを参照してください。
5.5 インターフェースの使用許可について
Web Intelligenceアプリケーション権限の設定により使用を許可するインターフェースを制限する場合は、適切なインターフェースが呼び出されるよう、BI起動パッドの個人設定メニューにてWeb Intelligenceの設定を確認してください。
5.6 アプリケーション権限「レポーティング - 式および変数の作成」について
この権限はレポート内での式の記述および変数の作成を制御します。この権限の付与は式エディタや変数作成メニューの使用だけではなく、関連するその他のメニューの使用にも影響を及ぼすことに注意してください。
この権限を「拒否」に設定した場合、以下のメニューおよび機能が無効化されます:
- 式ツールバー
- 空白セル、セクション、ブロックにおける「式の編集」メニュー
- オブジェクトの書式設定における「式がTrueの場合に非表示」オプション
- 変数の新規作成メニュー
- 書式設定ルール内の式エディタ
付録. Web Intelligenceに関する権限の一覧
下表はWeb Intelligenceのアプリケーション権限の一覧です。
下表はWeb Intelligenceドキュメントのコンテンツ権限の一覧です。
本書のいかなる部分も SAP SE の明示的許可なしに、いかなる形式、目的を問わず、複写、または送信することを禁じます。本書に記載された情報は、予告なしに変更されることがあります。
SAP SEがライセンス、またはその頒布業者が頒布するソフトウェア製品には、他のソフトウェア会社の専有ソフトウェアコンポーネントが含まれています。製品仕様は、国ごとに変わる場合があります。
これらの文書は SAP SE およびその関連会社(「SAP グループ」)が情報提供のためにのみ提供するもので、いかなる種類の表明および保証を伴うものではなく、SAP グループは文書に関する錯誤又は脱漏等に対する責任を負うものではありません。SAP グループの製品およびサービスに対する唯一の保証は、当該製品およびサービスに伴う明示的保証がある場合に、これに規定されたものに限られます。本書のいかなる記述も、追加の保証となるものではありません。
SAP、および本書で言及されるその他 SAP の製品およびサービス、ならびにそれらのロゴは、ドイツおよびその他諸国における SAP SE の商標または登録商標です。
商標に関する情報および表示の詳細については、http://www.sap.com/japan/company/legal/copyright/index.epx をご覧ください。
