06 tm1 user

Printed on 2017/12/27
Title 6.ユーザー･権限管理
6. ユーザー・権限管理
TM1 では、TM1 ユーザーをグループに整理してセキュリティーを管理しています。TM1 には、あらかじめ定義された管理グループが3 つありますが、
独自のカスタム・グループを作成することもできます。ユーザーは、1 つまたは複数のグループに所属できます。
TM1 のユーザー・グループには、大きく次の2 種類があります。
■管理グループ
次の3つが事前定義されています。
・“ADMIN”
・“DataAdmin”
・“SecurityAdmin”
■ユーザー・グループ
ユーザーが作成したすべてのグループが含まれます。
TM1のセキュリティ実装方法の手順は、以下の通りです。
1. セキュリティー・グループを定義します。
2. アクセス権をグループに割り当てます。
3. TM1 ユーザーを定義します。
4. ユーザーをグループに割り当てます。
TM1の各オブジェクトに対してグループごとのアクセス権限を設定することで、TM1セキュリティを実装することができるようになります。
6.1 ユーザー認証
ユーザーの権限を管理・調整・設定するためには、現行のCognos TM1の認証モードを確認する必要があります。
Cognos TM1では、以下のような認証モードがあります。
Cognos TM1 Server の認証方法
・TM1 認証（基本認証）
Cognos TM1 Serverがユーザーに対してユーザー名とパスワードの入力を求め、そのログオン情報をTM1のセキュリティー・キューブ
に保存されたログオン情報と照合して検証します。
・統合ログオン
06_ユーザー・権限管理.xls 1/20 6.ユーザー・権限管理

Microsoft Windows Active Directoryの認証機能を利用して、Cognos TM1 でのシングルサインオン認証を行います。
・LDAP 認証
Cognos TM1 Server が、ユーザーに対してユーザー名とパスワードの入力を求め、そのログオン情報を外部のLDAPサーバーと照合し、認証します。
・IBM Cognos のセキュリティー(CAM認証)
IBM Cognos BI 8 または IBM Cognos BI 10 の認証機能を使ってユーザーを認証します。
これら認証方法の詳細は、IBM Cognos TM1 のオンラインマニュアルに記載されています。
また、以下の情報も参照してください。TM1の認証方式について記載されています。
・ザ・技術の運用・構成ガイド
「CognosTM1構成・運用ガイド」
6.2 使用するユーザー認証（基本認証）
以降の手順では、ユーザー・権限管理に関する説明・操作を行います。
前提としている認証方式は、TM1 認証（基本認証）です
他の認証方式を採用している場合、操作が異なっていることもありえますのでご注意ください。
6.3 ユーザー、グループの操作
6.3.1 ユーザーの登録・削除
■ユーザーの登録
・IBM Cognos TM1 Architect を起動します。（スタートメニュー => すべてのプログラム => IBM Cognos TM1 - 64 => Architect)

・表示されたツリー（+）を展開し、表示された"Planning Sample"サーバをダブルクリックします。
・表示されたログイン画面にユーザ名(=admin)、パスワード(=apple)を入力し、"OK"ボタンを押します。
・"Planning Sample"を選び、右ボタンクリックを押し、"セキュリティー"=>"クライアント/グループ" を選びます。
① "+"を展開する。"-
"に変わります。
②"Planning Sample"をダブル
クリックします。

「クライアント/グループ」ウィンドウが開きます。
・"クライアント"=>"新規クライアントの追加" を選びます。
「クライアントの新規作成」ウィンドウが開きます。
・新しいユーザーの名前を「新規クライアント名の入力」ボックスに入力します。（図では、"user999"を入力しています）

注: TM1 はユーザー名とパスワードのスペースを無視します。例えば、TM1では、スペースがあるMc Cormickとスペースがない
McCormickは同じ名前として扱われます。
・「OK」をクリックします。
TM1によって、ユーザが「クライアント/グループ」ウィンドウの新しい行として追加されます。
・同様の手順でユーザー「user000」を作成してください。
新しいユーザーを初めて追加した場合、そのユーザーには、デフォルトのオブジェクト・セキュリティー権限が次のルールに従って付与されます。
・定義済みのユーザー・グループがサーバーに存在する場合は、サーバー上のすべてのオブジェクトの「なし」権限がその新規ユーザーに
与えられます。ユーザーをグループに割り当てて、TM1オブジェクトへのアクセスを許可する必要があります。
「なし」権限が付与されると新規ユーザーは、基本的にはオブジェクトにアクセスできない状態となります。
・定義済みのユーザー・グループがサーバーに存在しない場合は、サーバー上のすべてのオブジェクトの「書き込み」権限がその新規ユーザーに与えられます。
■ユーザーの削除
・IBM Cognos TM1 Architect を起動します。（スタートメニュー => すべてのプログラム => IBM Cognos TM1 - 64 => Architect)
・表示されたツリー（+）を展開し、表示された"Planning Sample"サーバをダブルクリックします。

・表示されたログイン画面にユーザ名(=admin)、パスワード(=apple)を入力し、"OK"ボタンを押します。
・"Planning Sample"を選び、右ボタンクリックを押し、"セキュリティー"=>"クライアント/グループ" を選びます。
① "+"を展開する。"-
"に変わります。
②"Planning Sample"をダブル
クリックします。

「クライアント/グループ」ウィンドウが開きます。
・「クライアント/グループ」ウィンドウで、削除するユーザーをクリックします。（上記の手順で"user000"を削除用に作成しておきます）
以下の確認ダイアログが表示されますので、"はい"ボタンを押します。

・「クライアント/グループ」ウィンドウで、指定したユーザーが削除されたことを確認します。
6.3.2 グループの登録、削除
■グループの登録
・IBM Cognos TM1 Architect で作業を行います。
『7.3.1 ユーザーの登録・削除』を参照して、「クライアント/グループ」ウィンドウを開きます。
・「クライアント/グループ」ウィンドウで、"グループ"=>"新規グループの追加"を選びます。

・新しいグループの名前を「新しいグループ名の入力」入力ボックスに入力します。（図では、"GroupABC"を入力しています）
TM1 によって、グループが「クライアント/グループ」ウィンドウの新しい列として追加されます。

※ デフォルトでは、1 セッションで20 グループまで追加できます（最大　65,535個のグループまで）。
1セッションあたりの追加可能グループ数を増やすには、“TM1s.cfg”ファイルのGroupsCreationLimit パラメーターの値を変更します。
TM1s.cfgは各TM1サーバーのデータディレクトリに格納されています。
・同様にグループ「Group999」を作成します。
■グループの削除
・「クライアント/グループ」ウィンドウで、削除するグループを右マウスボタンクリックし、表示されるポップアップメニューから"グループの削除"を選びます。
※ 上記の手順で、削除用に"Group999"を作成しておきます。
以下の確認ダイアログが表示されますので、"はい"ボタンを押します。

・「クライアント/グループ」ウィンドウで、指定したグループが削除されたことを確認します。
■グループへのユーザーの割り当て
・「クライアント/グループ」ウィンドウで、グループ "GroupABC"とユーザー"User999"の交点にチェックをします。

6.3.3 ユーザのパスワード変更
※TM1 認証（基本認証）でユーザーを認証していることが前提となります。
ユーザーのパスワードは、設定、クリア、および変更できます。
・パスワードは、任意のキーボード文字を含むことができます。
・パスワードの大文字と小文字は区別されません。例えば、パスワードABC123 と abc123は同じです。
・パスワードにスペースを使用できますが、TM1 Server によって無視されます。
TM1 サーバーは、パスワードABC 123 DEF とABC123DEF を同じものとみなします。
■パスワードの設定
・IBM Cognos TM1 Architect で作業を行います。（管理者で作業する必要があります）
・「クライアント/グループ」ウィンドウで、操作対象の"ユーザー名"と"パスワード"列が交差している位置のセルをクリックします。

セルの内容が”未定義”となっていますので、そこにパスワードを入力し、Enterキーを押します。
※ パスワードは、最大256文字まで指定できます。
再入力画面が表示されるので、同じパスワードを入力し、OKボタンを押します。
パスワードが設定され、セルは”定義済み”となります。

■パスワードのクリア
・「クライアント/グループ」ウィンドウで、操作対象の"ユーザー名"と"パスワード"列が交差している位置のセルを選択し、
右マウスボタンのクリックで"クリア"を選びます。
確認画面が表示されるので、はいボタンを押します。

■パスワードの変更
・「クライアント/グループ」ウィンドウで、操作対象の"ユーザー名"と"パスワード"列が交差している位置のセルを選択し、
右マウスボタンのクリックで"クリア"を選び、パスワードをクリアした後、パスワードの設定を行うことでパスワード変更が可能です。
各ユーザが自分のパスワードを変更する場合、IBM Cognos TM1 Architectでログインした後、サーバー（下図では、"Planning Sample"）=>"セキュリティー"=>
"パスワードの変更"を選びます。
変更するパスワードを入力し、OKボタンを押します。（確認画面が表示されるので、はいボタンを押します。）

この操作で、自分のパスワードを変更することができました。
現在とは別のユーザーでログインする場合は、「Planning Sample」を右クリックし「ログアウト」を選択します。
6.4 オブジェクトへの権限操作
6.4.1 権限付与、削除
アプリケーションへのセキュリティー設定を例として手順を説明します。
・上記手順のユーザー、グループの設定を反映させるため、以下のサービスを再起動させます。
"スタート"メニュー=>"管理ツール"=>"サービス"を選びます。
・以下の設定は、IBM Cognos TM1 Architect で作業を行います。（管理者で作業する必要があります）
"Planning Sample"を選び、マウスの右ボタンクリックでポップアップメニューを表示し、"セキュリティー"=>"セキュリティー割り当て..."を選びます。

・グループ "GroupABC"のアクセス権を以下のように設定します。変更したいセルを選択し、アクセス権ラジオボタンを選択します。
OKボタンを押します。

・ユーザー"User999"を作成し、グループ"GroupABC"に割り振りました。
この状態で"User999"でアプリケーション（"Planning Sample"）にログインしてみます。
・ブラウザに"http://localhost/tm1web" と入力し、Enterキーを押します。次のような画面が表示されます。
①セルをクリックしま
す。
②"読み取り"を選び
ます。

ユーザー名に"User999"、パスワードには"User999"用に設定したパスワードを入力し、「ログオン」ボタンを押します。
・ログインが成功し、以下のような画面が表示されます。
セキュリティ設定をした、"Top Down Goals"が表示されています。

"Goal v LY Actual v LY Budget" アプリケーションをクリックするとエラーが表示されますが、稼動させるためには他のオブジェクトについて同じような
セキュリティ設定が必要になります。

06 tm1 user

More Related Content

More from Shinsuke Yamamoto

06 tm1 user