Cognos のフォルダーおよびレポートに対するユーザー権限
カスタム Java 認証プロバイダー (CJAP) は、Cognos のレポート・フォルダーおよびレポートにアクセスするユーザーに対して権限を提供します。この機能を実装する前に、IBM® Marketing Software 認証プロバイダーを実装して、IBM Marketing Software アプリケーションおよび Cognos の間のシングル・サインオン認証を提供する必要があります。
IBM Marketing Software 認証プロバイダーの制限
IBM Marketing Software 認証プロバイダーを使用するように Cognos を構成すると、ユーザーが IBM Marketing Software アプリケーション内でレポートにアクセスする際に、ユーザーは Cognos で自動的に認証されます。IBM Marketing Software 製品にアクセスするために使用したブラウザー・セッション内でユーザーが Cognos URL にアクセスした場合、Cognos はユーザーに再度ログインするようには求めません。
Cognos のユーザー・インターフェースでログインするユーザーは、Cognos の Everyone グループのメンバーになります。これがデフォルトの Cognos 名前空間の実装です。Cognos の Everyone グループは、デフォルトで System Administrator 特権を持っています。これでは、すべてのユーザーが admin ユーザーになるため、セキュリティー・リスクになります。悪意のあるユーザーがこの権限を利用してパブリック・フォルダーにあるレポートを削除または編集することができるからです。
IBM Marketing Software 認証プロバイダーは、Cognos 内でユーザーを認証しますが、それらのユーザーに権限を与えることはしません。この制限を解決するために、CJAP を実装して、Cognos 名前空間のセキュリティー・セクションにユーザーが表示されるようにします。これが行われると、ユーザーの役割と権限を Cognos で管理できるようになります。
CJAP 実装の概要
CJAP 実装は、レポート・アクセス権限を持つ IBM Marketing Software アプリケーション内のすべてのユーザーを、指定の Cognos 名前空間に組み入れます。CJAP は、IBM Marketing Software ユーザーを、それらのユーザーの IBM Marketing Software 製品へのアクセス権限に基づいて Cognos グループに関連付けます。IBM Marketing Software で ReportsUser 役割を持つユーザーには、Cognos のフォルダーおよびレポートに対して読み取り専用の限定的なアクセス権限が与えられます。IBM Marketing Software で ReportsSystem 役割を持つユーザーには、Cognos での管理者権限が与えられます。Cognos のカスタム・レポートおよびレポート・フォルダーをセキュリティーで保護するために、グループと役割をカスタマイズすることもできます。
CJAP の前提条件
CJAP を実装する前に、IBM Marketing Software 認証プロバイダーが実装され、テスト済みであることを確認してください。