この章では、Oracle Enterprise Managerを使用してOracle Databaseのエンタープライズ・ユーザー・セキュリティを管理する方法を説明します。この章では、次の項目について説明します。
アイデンティティ管理レルムは、ディレクトリ・エントリのサブツリーであり、そのすべてが同じ管理ポリシーによって管理されます。レルムOracleコンテキストは、ディレクトリ・アイデンティティ管理レルム内のサブツリーであり、ディレクトリを使用するインストール済のOracle製品によって使用されるデータが含まれます。
アイデンティティ管理レルムのプロパティは、Oracle Internet Directoryセルフ・サービス・コンソールなどのOracle Internet Directoryツールを使用して設定できます。
Oracle Enterprise Manager Database ControlまたはGrid ControlのWebインタフェースを使用すると、アイデンティティ管理レルム内のエンタープライズ・ユーザー・セキュリティ関連のエントリを管理できます。
この項では、エンタープライズ・ユーザー・セキュリティのアイデンティティ管理レルムを管理する方法を説明します。ここでは、次の項目について説明します。
注意: レルムOracleコンテキスト内にユーザーを作成しないでください。 |
関連項目:
|
エンタープライズ・ユーザー・セキュリティで使用できるのは、Oracle Application Server 10g (9.0.4)以上に同梱されているOracle Internet Directory 10g (9.0.4)以上で提供されるアイデンティティ管理レルムのみです。リリース9.0.4(以上)のアイデンティティ管理レルム内のエンタープライズ・ユーザー・セキュリティのディレクトリ・エントリは、Oracle Database 11gリリース2(11.2)用のOracle Enterprise Managerを使用して管理できます。
アイデンティティ管理レルムには、Oracle Internet Directoryセルフ・サービス・コンソールなどのOracle Internet Directoryツールを使用して表示および管理できるプロパティが多数あります。表5-1では、これらのプロパティを説明します。
表5-1 アイデンティティ管理レルムのプロパティ
プロパティ | 説明 |
---|---|
ログイン名の属性 |
ログイン名の格納に使用するディレクトリ属性の名前。デフォルトでは、ログイン名は |
Kerberosプリンシパル名の属性 |
Kerberosプリンシパル名の格納に使用するディレクトリ属性の名前。デフォルトでは、Kerberosプリンシパル名は |
ユーザー検索ベース |
ディレクトリに格納されているエンタープライズ・ユーザーのノードに対する完全識別名(DN)。 |
グループ検索ベース |
このアイデンティティ管理レルムに対してディレクトリに格納されているユーザー・グループのノードに対する完全DN。 |
バージョンの互換性 |
このプロパティはすでに使用されていません。ただし、リリース8.1.7以前のデータベースは、Oracle Database 10g以上のデータベースと同じレルム内に存在できないため、それが |
注意: 各アイデンティティ管理レルムには、そのレルムのみのルート・ユーザーであるorcladmin ユーザーが含まれます。これらのレルム固有のorcladmin ユーザーは、ディレクトリ・エントリcn=orcladmin,cn=Users, realm_DN で表されます。レルム固有のorcladmin ユーザーとしてエンタープライズ・ユーザー・セキュリティ管理ツールにログインしている場合は、そのレルムのディレクトリ・オブジェクトのみ管理できます。別のレルムのオブジェクトを管理するには、そのレルムのorcladmin ユーザーとして管理ツールにログインする必要があります。 |
これらのアイデンティティ管理レルムの属性を設定すると、データベースはエンタープライズ・ユーザー・セキュリティのエントリを特定できます。
アイデンティティ管理レルムのログイン名、Kerberosプリンシパル名、ユーザー検索ベースおよびグループ検索ベースの各属性を設定する手順:
Oracle Internet Directoryセルフ・サービス・コンソールにログインします。
ブラウザ・ウィンドウにOracle Internet Directoryセルフ・サービス・コンソールにアクセスするためのURLを入力します。次に例を示します。
http://myhost1:7777/oiddas
orcladmin
ユーザーとしてログインします。
「構成」タブをクリックします。「アイデンティティ管理レルム」サブタブをクリックします。
「ディレクトリ構成」ページが表示されます。
使用可能なフィールドに適切な情報を入力します。
「送信」をクリックし、変更内容をディレクトリに保存します。
関連項目: Oracle Internet Directoryセルフ・サービス・コンソールの使用方法は、『Oracle Identity Management委任管理ガイド』を参照してください。 |
LDAP_DIRECTORY_ACCESS
パラメータの初期値は、レルム・レベルのデータベースとディレクトリ間のデフォルトの認証属性設定から取得されます。このパラメータは、Oracle Internet Directoryへの登録時に個々のデータベースに設定されます。
Oracle Enterprise Manager Database ControlまたはGrid Controlのインタフェースを使用すると、データベースでOracle Internet Directoryに対する認証に使用する認証メカニズムを設定できます。認証メカニズムは、パスワードまたはSSLに設定できます。
アイデンティティ管理レルムに対するデータベースとディレクトリ間のデフォルト認証タイプを設定する手順:
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「OIDレルム管理」をクリックします。
「OIDレルム管理」ページが表示されます。現在のDB-OID認証方式が表示されます。
現在のDB-OID認証方式を変更するには、「変更」をクリックします。
「レルム構成」ページが表示されます。
「DB-OID認証」で「パスワード」または「SSL」を選択します。
レルム内のすべてのデータベースおよびクライアントがリリース10g以上である場合は、パスワード検証機能を無効にできます。この機能は、10gより前のデータベース用の追加パスワード・フィールドを移入するためにディレクトリによって使用されます。パスワード検証を無効にするには、「パスワード検証」を選択解除します。
「OK」をクリックします。
アイデンティティ管理レルムには、様々なレベルの権限を持つ管理グループが含まれています。表5-2に、エンタープライズ・ユーザー・セキュリティに関連するアイデンティティ管理レルムの管理グループを定義します。これらのグループの詳細は、「管理グループ」を参照してください。
表5-2 エンタープライズ・ユーザー・セキュリティのアイデンティティ管理レルム管理者
管理グループ | 定義 |
---|---|
Oracle Database登録管理者 (OracleDBCreators) |
新しいデータベースをレルムに登録します。 |
Oracle Databaseセキュリティ管理者 (OracleDBSecurityAdmins) |
OracleDBSecurityディレクトリ・サブツリーに対するすべての権限を持ちます。エンタープライズ・ユーザー・セキュリティのすべてのディレクトリ・オブジェクトの作成、変更および読取りができます。 |
Oracleコンテキスト管理者 (OracleContextAdmins) |
関連付けられたレルム内のすべてのグループとエントリに対する完全なアクセス権を持ちます。 |
ユーザー・セキュリティ管理者 (OracleUserSecurityAdmins) |
ディレクトリ内のエンタープライズ・ユーザーのセキュリティ管理に必要な関連する権限を持ちます。たとえば、OracleUserSecurityAdminsはユーザー・パスワードを変更できます。 |
アイデンティティ管理レルム管理者を管理する手順:
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「OIDレルム管理」をクリックします。
「OIDレルム管理」ページが表示されます。このページには、アイデンティティ管理レルム内のエンタープライズ・ユーザー・セキュリティ関連の管理グループが一覧表示されます。
編集する管理グループを選択します。「編集」をクリックします。
「編集」ページが表示されます。「OIDレルム管理」ページで選択したグループの現在のメンバーであるディレクトリ・ユーザーが一覧表示されます。
ディレクトリ・ユーザーをグループに追加するには、「追加」をクリックします。
「ユーザーの選択」ウィンドウが表示されます。
「検索ベース」を選択します。検索ベースは、ユーザーを探すために検索するディレクトリ・サブツリーです。「ジャンプ」をクリックします。
管理者として追加するユーザーを選択します。「選択」をクリックします。
「編集」ページにユーザーが追加されます。
「OK」をクリックします。
この項では、Oracle Internet Directoryセルフ・サービス・コンソールおよびOracle Enterprise Managerを使用してエンタープライズ・ユーザーを管理する方法を説明します。ここでは、次の項目について説明します。
Oracle Internet Directoryセルフ・サービス・コンソールなどのOracle Internet Directoryツールを使用すると、ディレクトリにユーザーを作成できます。
注意: 新規エンタープライズ・ユーザーを作成する前に、ユーザー検索ベースをディレクトリに定義し、また、ユーザー作成ベースを検証する必要があります。「ログイン名、Kerberosプリンシパル名、ユーザー検索ベースおよびグループ検索ベースのID管理レルム属性の設定」を参照してください。 |
新しいエンタープライズ・ユーザーを作成する手順:
Oracle Internet Directoryセルフ・サービス・コンソールにログインします。
ブラウザ・ウィンドウにOracle Internet Directoryセルフ・サービス・コンソールにアクセスするためのURLを入力します。次に例を示します。
http://myhost1:7777/oiddas
orcladmin
ユーザーとしてログインします。
「ディレクトリ」タブをクリックします。「ユーザー」サブタブをクリックします。
「ユーザー」ページが表示されます。
「作成」をクリックして新しいユーザーを作成します。
「ユーザーの作成」ページが表示されます。
「ユーザーの作成」ページで適切なユーザー情報を入力します。「送信」をクリックして新しいエンタープライズ・ユーザーを作成します。
注意: ユーザーのデータベースに対する認証がKerberos資格証明を使用して行われており、krbPrincipalName 属性が表示されていない場合、この属性の構成方法は「タスク1: Kerberosプリンシパル名属性を表示するためのOracle Internet Directoryセルフ・サービス・コンソールの構成」を参照してください。 |
Oracle Internet Directoryセルフ・サービス・コンソールを使用すると、Oracle Internet Directoryでエンタープライズ・ユーザー・パスワードを設定および管理できます。
エンタープライズ・ユーザー・パスワードは、次の用途で使用されます。
ディレクトリ・ログイン
グローバル・ユーザーのパスワード認証をサポートするデータベースへのデータベース・ログイン
エンタープライズ・ユーザーのパスワードを設定する手順:
Oracle Internet Directoryセルフ・サービス・コンソールにログインします。
ブラウザ・ウィンドウにOracle Internet Directoryセルフ・サービス・コンソールにアクセスするためのURLを入力します。次に例を示します。
http://myhost1:7777/oiddas
orcladmin
ユーザーとしてログインします。
「ディレクトリ」タブをクリックします。「ユーザー」サブタブをクリックします。
「ユーザー」ページが表示されます。
「検索」フィールドに、エンタープライズ・ユーザーのユーザー名(ログイン名)または電子メール・アドレスの一部を入力します。「ジャンプ」をクリックします。
検索基準に合致するすべてのユーザーのリストが表示されます。
新規パスワードを作成するユーザーを選択します。「編集」をクリックします。
「ユーザーの編集」ページが表示されます。
「パスワード」フィールドに、新規パスワードを入力します。「パスワードの確認」フィールドでパスワードを確認します。「送信」をクリックします。
エンタープライズ・ロールは、様々なデータベースのグローバル・ロールをグループ化できるようにするディレクトリ・オブジェクトです。エンタープライズ・ロールをエンタープライズ・ユーザーに割り当てて、エンタープライズ・データベースに対する権限を付与できます。
エンタープライズ・ロールをエンタープライズ・ユーザーに付与するには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「エンタープライズ・ユーザーの構成」をクリックします。
エンタープライズ・ユーザーの構成ページが表示されます。
エンタープライズ・ユーザーを検索する「検索ベース」を選択します。検索ベースは、エンタープライズ・ユーザー・エントリが含まれるサブツリーです。必要に応じて、「名前」フィールドにエンタープライズ・ユーザーの共通名を入力できます。「表示」ボックスで「USER」を選択します。「ジャンプ」をクリックします。
基準に合致するユーザーのリストが表示されます。
構成するエンタープライズ・ユーザーを選択します。「構成」をクリックします。
「ユーザーの構成」ページが表示されます。
「エンタープライズ・ロール」タブをクリックします。
「権限」をクリックします。
エンタープライズ・ロールの選択ウィンドウが表示されます。
付与するエンタープライズ・ロールを選択します。「選択」をクリックします。
「ユーザーの構成」ページで「OK」をクリックします。
プロキシ権限により、エンタープライズ・ユーザーはローカル・データベース・ユーザーの代わりとなることができます。つまり、エンタープライズ・ユーザーはローカル・データベース・ユーザーとしてデータベースにログインできます。プロキシ権限は、個々のユーザーまたはグループに付与できます。プロキシ権限は、複数のデータベース間でエンタープライズ・ユーザーとして動作する中間層アプリケーションでは特に有用です。
プロキシ権限はエンタープライズ・ドメイン・レベルで作成されます。作成されたエンタープライズ・ドメインのプロキシ権限は、エンタープライズ・ユーザーに付与できます。
プロキシ権限をエンタープライズ・ユーザーに付与するには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「エンタープライズ・ユーザーの構成」をクリックします。
エンタープライズ・ユーザーの構成ページが表示されます。
エンタープライズ・ユーザーを検索する「検索ベース」を選択します。検索ベースは、エンタープライズ・ユーザー・エントリが含まれるサブツリーです。必要に応じて、「名前」フィールドにエンタープライズ・ユーザーの共通名を入力できます。「表示」ボックスで「USER」を選択します。「ジャンプ」をクリックします。
基準に合致するユーザーのリストが表示されます。
構成するエンタープライズ・ユーザーを選択します。「構成」をクリックします。
「ユーザーの構成」ページが表示されます。
「プロキシ権限」タブをクリックします。
「権限」をクリックします。
プロキシ権限の選択ウィンドウが表示されます。
付与するプロキシ権限を選択します。プロキシ権限は、エンタープライズ・ドメインに対してすでに作成されている必要があります。「選択」をクリックします。
「ユーザーの構成」ページで「OK」をクリックします。
ユーザー・スキーマ・マッピングは、エンタープライズ・ユーザーをグローバル・データベース・スキーマにマップします。エンタープライズ・ユーザーがデータベースにログインすると、デフォルトにより、マップされたスキーマに接続されます。
ユーザー・スキーマ・マッピングを作成するには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「エンタープライズ・ユーザーの構成」をクリックします。
エンタープライズ・ユーザーの構成ページが表示されます。
エンタープライズ・ユーザーを検索する「検索ベース」を選択します。検索ベースは、エンタープライズ・ユーザー・エントリが含まれるサブツリーです。必要に応じて、「名前」フィールドにエンタープライズ・ユーザーの共通名を入力できます。「表示」ボックスで「USER」を選択します。「ジャンプ」をクリックします。
基準に合致するユーザーのリストが表示されます。
構成するエンタープライズ・ユーザーを選択します。「構成」をクリックします。
「ユーザーの構成」ページが表示されます。
「ユーザー・スキーマ・マッピング」タブをクリックします。ユーザーに直接または間接的に適用されているユーザー・スキーマ・マップがすべて表示されます。
ユーザーは個別にスキーマにマップできます。あるいは、複数のユーザーを含むディレクトリ・サブツリーをデータベース・スキーマにマップすることもできます。
「作成」をクリックします。
「マッピングの作成」ページが表示されます。
「自」セクションで、「ユーザー」を選択して個々のエンタープライズ・ユーザーをデータベース・スキーマにマップします。あるいは、「サブツリー」を選択して複数のユーザーが含まれるディレクトリ・サブツリーをマップします。
「至」で、データベース・スキーマにマップするには、「データベース」を選択します。エンタープライズ・ドメイン内のすべてのデータベースに共通するスキーマにマップするには、「ドメイン」を選択します。
エンタープライズ・ドメイン内には、共通スキーマ名を持つ複数のデータベースを保持できます。エンタープライズ・ユーザーをこのようなスキーマにマップすると、そのエンタープライズ・ユーザーはドメインに含まれる各データベースの個々のスキーマに自動的にマップされます。
前の手順で「データベース」を選択した場合、スキーマを含むデータベースの名前を選択します。次に、データベース・スキーマ名を入力します。検索アイコンを使用してスキーマを選択することもできます。スキーマを選択するには、データベースにログインする必要があります。
前の手順で「ドメイン」を選択した場合は、ドメイン名を選択し、「スキーマ」フィールドに共通スキーマ名を入力します。
「マッピングの作成」ページで「続行」をクリックします。
「ユーザーの構成」ページで「OK」をクリックします。
ディレクトリに格納されるOracle Label Security (OLS)ポリシーには、複数のプロファイルを関連付けることができます。各プロファイルは、ポリシー認可および権限のセットです。これらのポリシー認可および権限は、プロファイルに属するすべてのエンタープライズ・ユーザーに適用されます。プロファイルは、エンタープライズ・ユーザーに割り当てることができます。
ラベル認可をエンタープライズ・ユーザーに割り当てるには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「エンタープライズ・ユーザーの構成」をクリックします。
エンタープライズ・ユーザーの構成ページが表示されます。
エンタープライズ・ユーザーを検索する「検索ベース」を選択します。検索ベースは、エンタープライズ・ユーザー・エントリが含まれるサブツリーです。必要に応じて、「名前」フィールドにエンタープライズ・ユーザーの共通名を入力できます。「表示」ボックスで「USER」を選択します。「ジャンプ」をクリックします。
基準に合致するユーザーのリストが表示されます。
構成するエンタープライズ・ユーザーを選択します。「構成」をクリックします。
「ユーザーの構成」ページが表示されます。
「ラベル認可」タブをクリックします。
ユーザーに関連付けられているすべてのユーザー・プロファイルのリストが表示されます。
「追加」をクリックします。
ユーザー・プロファイルの選択ウィンドウが表示されます。
ユーザーの追加先となるユーザー・プロファイルを選択し、「選択」をクリックします。選択できるのは、ポリシーごとに1つのプロファイルのみです。
「ユーザーの構成」ページで「OK」をクリックします。
ユーザー定義のエンタープライズ・グループを使用すると、エンタープライズ・データベースに対して同じロールまたは権限を必要とするエンタープライズ・ユーザーを1つにまとめてグループ化することが簡単にできます。エンタープライズ・グループはディレクトリに格納されます。
エンタープライズ・ロールは、様々なデータベースのグローバル・ロールをグループ化できるようにするディレクトリ・オブジェクトです。エンタープライズ・ロールをエンタープライズ・グループに割り当てて、グループ・メンバーにエンタープライズ・データベースに対する権限を付与できます。
エンタープライズ・ロールをエンタープライズ・グループに付与するには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「ユーザー定義のエンタープライズ・グループの構成」をクリックします。
エンタープライズ・グループの構成ページが表示されます。
エンタープライズ・グループを検索する「検索ベース」を選択します。検索ベースは、エンタープライズ・グループ・エントリが含まれるサブツリーです。必要に応じて、「名前」フィールドにエンタープライズ・グループの共通名を入力します。「表示」ボックスで「グループ」を選択します。「ジャンプ」をクリックします。
基準に合致するグループのリストが表示されます。
構成するエンタープライズ・グループを選択します。「構成」をクリックします。
「グループの構成」ページが表示されます。
「エンタープライズ・ロール」タブをクリックします。
エンタープライズ・グループに付与されたエンタープライズ・ロールのリストが表示されます。
「権限」をクリックして新しいエンタープライズ・ロールをグループに付与します。
エンタープライズ・ロールの選択ウィンドウが表示されます。
付与するエンタープライズ・ロールを選択します。「選択」をクリックします。
「グループの構成」ページで「OK」をクリックします。
Oracle Internet Directoryに登録されたデータベースのエンタープライズ・ユーザー・セキュリティは、Enterprise Managerを使用して構成できます。ユーザーまたはサブツリーをデータベース・スキーマにマップできます。また、データベースのスキーマ・マッピングおよびエンタープライズ・ドメイン・メンバーシップを変更できる管理者をディレクトリ内で構成できます。
ユーザー・スキーマ・マッピングは、エンタープライズ・ユーザーをデータベースのグローバル・スキーマにマップします。エンタープライズ・ユーザーがデータベースにログインすると、デフォルトにより、マップされたスキーマに接続されます。
ユーザー・スキーマ・マッピングを作成するには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「データベースの構成」をクリックします。
「データベースの構成」ページが表示されます。アイデンティティ管理レルムに登録されているデータベースのリストが表示されます。
データベース名を選択します。「構成」をクリックします。
「データベースの構成」ページが表示されます。
「ユーザー・スキーマ・マッピング」タブをクリックします。データベース・レベルで作成されたユーザー・スキーマ・マップがすべて表示されます。エンタープライズ・ドメイン・レベルで作成されたユーザー・スキーマ・マップは、ここには表示されません。
「作成」をクリックして、データベースに新しいユーザー・スキーマ・マッピングを作成します。
「マッピングの作成」ページが表示されます。
「自」セクションで、「ユーザー」を選択して個々のエンタープライズ・ユーザーをデータベース・スキーマにマップします。あるいは、「サブツリー」を選択して複数のユーザーが含まれるディレクトリ・サブツリーをマップします。「検索」アイコンを使用して該当するユーザーまたはサブツリーを検索できます。
「至」セクションで、ユーザーまたはサブツリーのマップ先となるスキーマの名前を入力します。検索アイコンを使用してデータベースで該当するスキーマを検索できます。スキーマ名にアクセスするには、データベースにログインする必要があります。
「マッピングの作成」ページで「続行」をクリックします。
「データベースの構成」ページで「OK」をクリックします。
データベースのデータベース・スキーマ・マッピングを管理する権限があるディレクトリ・ユーザーは、データベースのデータベース・スキーマ・マッピングを作成または削除できます。
データベース・スキーマ・マッピングを管理するための管理者を追加するには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「データベースの構成」をクリックします。
「データベースの構成」ページが表示されます。アイデンティティ管理レルムに登録されているデータベースのリストが表示されます。
データベース名を選択します。「構成」をクリックします。
「データベースの構成」ページが表示されます。
「管理者」タブをクリックします。データベース・スキーマ・マッピングを管理できる管理者のリストが表示されます。
「追加」をクリックして管理者を追加します。
「ユーザーの選択」ウィンドウが表示されます。
「検索ベース」を選択します。検索ベースは、ユーザーを探すために検索するディレクトリ・サブツリーです。「ジャンプ」をクリックします。
管理者として追加するユーザーを選択します。「選択」をクリックします。
「データベースの構成」ページにユーザーが追加されます。
ユーザーが他の管理者を追加または削除できるようにする場合は、追加されたユーザーに対応する「管理グループ所有者」チェック・ボックスを選択します。
「OK」をクリックします。
エンタープライズ・ドメインは、エンタープライズ・ロール、プロキシ権限、ユーザー・スキーマ・マッピング、現行ユーザーのデータベース・リンクおよび許可された認証メカニズムを共有できるデータベースのグループです。データベースが所属できるエンタープライズ・ドメインは1つのみです。
エンタープライズ・ドメインは管理ドメインと考えられ、そのドメインのDomain Adminsグループによって管理されます。これらの管理者は、エンタープライズ・ドメインにデータベースを追加できます。
アイデンティティ管理レルムには、OracleDefaultDomain
というエンタープライズ・ドメインが含まれています。OracleDefaultDomain
は、レルムがディレクトリに最初に作成されたときから、レルムに属します。新しいデータベースは、レルムに登録されると、自動的にそのレルムのOracleDefaultDomain
のメンバーになります。独自のエンタープライズ・ドメインを作成および削除できますが、OracleDefaultDomain
はレルムから削除しないでください。
この項では、Oracle Enterprise Managerを使用してディレクトリ内のエンタープライズ・ドメインを管理する方法を説明します。ここでは、次の項目について説明します。
エンタープライズ・ドメインは、エンタープライズ・ロール、プロキシ権限、ユーザー・スキーマ・マッピング、現行ユーザーのデータベース・リンクおよび許可された認証メカニズムを共有できるデータベースの管理ドメインです。
OracleDefaultDomain
を使用しない場合は、アイデンティティ管理レルムに新しいエンタープライズ・ドメインを作成できます。
エンタープライズ・ドメインを作成するには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「エンタープライズ・ドメインの管理」をクリックします。
「エンタープライズ・ドメインの管理」ページが表示されます。このページには、アイデンティティ管理レルム内のエンタープライズ・ドメインが一覧表示されます。
「作成」をクリックして新しいエンタープライズ・ドメインを作成します。
「ドメインの作成」ページが表示されます。
「名前」フィールドに、新しいエンタープライズ・ドメインの名前を入力します。「OK」をクリックします。
「エンタープライズ・ドメイン」ページのエンタープライズ・ドメインのリストに新しいエンタープライズ・ドメインが追加されます。
Domain Adminsグループのメンバーは、エンタープライズ・ドメインにデータベースを追加できます。データベースは、「ドメインの構成」ページからエンタープライズ・ドメインに追加できます。また、新しいエンタープライズ・ドメインを作成している場合は、「ドメインの作成」ページからデータベースを追加することもできます。
注意: エンタープライズ・ドメインへのデータベースの追加には、次の制限事項が適用されます。
|
データベースをエンタープライズ・ドメインに追加するには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「エンタープライズ・ドメインの管理」をクリックします。
「エンタープライズ・ドメインの管理」ページが表示されます。このページには、アイデンティティ管理レルム内のエンタープライズ・ドメインが一覧表示されます。
構成するエンタープライズ・ドメインを選択します。「構成」をクリックします。
「ドメインの構成」ページが表示されます。
「データベース」タブが選択されていることを確認します。「追加」をクリックし、新しいデータベースをエンタープライズ・ドメインに追加します。
データベースの選択ページが表示されます。アイデンティティ管理レルムに登録されているデータベースのリストが表示されます。データベースを追加できるのは、他のどのエンタープライズ・ドメインにも属していない場合のみです。
追加するデータベースを選択します。「選択」をクリックします。
「ドメインの構成」ページで「OK」をクリックします。
ユーザー・スキーマ・マッピングは、エンタープライズ・ユーザーをデータベースのグローバル・スキーマにマップします。エンタープライズ・ユーザーがデータベースにログインすると、デフォルトにより、マップされたスキーマに接続されます。
エンタープライズ・ドメインのユーザー・スキーマ・マッピングを作成すると、マッピングはドメイン内のすべてのデータベースが適用されます。ただし、データベースでそのマッピングが有効になるには、そのデータベースにマッピングで使用された名前のスキーマが必要です。
エンタープライズ・ドメインのユーザー・スキーマ・マッピングを作成するには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「エンタープライズ・ドメインの管理」をクリックします。
「エンタープライズ・ドメインの管理」ページが表示されます。このページには、アイデンティティ管理レルム内のエンタープライズ・ドメインが一覧表示されます。
構成するエンタープライズ・ドメインを選択します。「構成」をクリックします。
「ドメインの構成」ページが表示されます。
「ユーザー・スキーマ・マッピング」タブをクリックします。ドメイン・レベルで作成されたユーザー・スキーマ・マップがすべて表示されます。データベース・レベルで作成されたユーザー・スキーマ・マップは、ここには表示されません。
「作成」をクリックして、ドメインに新しいユーザー・スキーマ・マッピングを作成します。
「マッピングの作成」ページが表示されます。
「自」セクションで、「ユーザー」を選択して個々のエンタープライズ・ユーザーをデータベース・スキーマにマップします。あるいは、「サブツリー」を選択して複数のユーザーが含まれるディレクトリ・サブツリーをマップします。「検索」アイコンを使用して該当するユーザーまたはサブツリーを検索できます。
「至」セクションで、ユーザーまたはサブツリーのマップ先となるスキーマの名前を入力します。
「マッピングの作成」ページで「続行」をクリックします。
「ドメインの構成」ページで「OK」をクリックします。
ID管理レルム内のエンタープライズ・ドメインには、複数のエンタープライズ・ロールを含めることができます。エンタープライズ・ロールは、エンタープライズ・ドメイン内の1つ以上のデータベースに対するOracleロールベースの認可のセットです。
エンタープライズ・ロールを使用すると、エンタープライズ・ドメインに属する異なるデータベースのグローバル・ロールをグループ化できます。エンタープライズ・ロールはエンタープライズ・ユーザーに割当てできます。
エンタープライズ・ロールを作成するには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「エンタープライズ・ドメインの管理」をクリックします。
「エンタープライズ・ドメインの管理」ページが表示されます。このページには、アイデンティティ管理レルム内のエンタープライズ・ドメインが一覧表示されます。
構成するエンタープライズ・ドメインを選択します。「構成」をクリックします。
「ドメインの構成」ページが表示されます。
「エンタープライズ・ロール」タブをクリックします。
「作成」をクリックして新しいエンタープライズ・ロールを作成します。
「エンタープライズ・ロールの作成」ページが表示されます。
「名前」フィールドに、エンタープライズ・ロールの名前を入力します。「続行」をクリックします。
「ドメインの構成」ページに新しいロールが表示されます。
次に、作成したこのエンタープライズ・ロールを構成できます。エンタープライズ・ロールの構成には、エンタープライズ・ロールへのデータベース・グローバル・ロールの追加、およびエンタープライズ・ユーザーまたはグループへのエンタープライズ・ロールの割当てが含まれます。
データベース・グローバル・ロールをエンタープライズ・ロールに追加するには、次のようにします。
「ドメインの構成」ページで作成したエンタープライズ・ロールを選択します。「編集」をクリックします。
「エンタープライズ・ロールの編集」ページが表示されます。
「DBグローバル・ロール」タブが選択されていることを確認します。「追加」をクリックし、エンタープライズ・ドメインに属するデータベースからグローバル・ロールを追加します。
「検索と選択: データベース・グローバル・ロール」ページが表示されます。
追加するグローバル・ロールを含むデータベースを選択します。ユーザー名およびパスワードを指定して、選択したデータベースにログインします。「ジャンプ」をクリックします。
追加するグローバル・ロールを選択します。「選択」をクリックします。
「エンタープライズ・ロールの編集」ページに選択したロールが表示されます。
これで、エンタープライズ・ユーザーまたはグループにエンタープライズ・ロールを割り当てることができます。
エンタープライズ・ユーザーまたはグループにエンタープライズ・ロールを割り当てるには、次のようにします。
「エンタープライズ・ロールの編集」ページで「権限受領者」タブをクリックします。
「追加」をクリックします。
「選択: ユーザーまたはグループ」ページが表示されます。
検索ベースを選択するか、ユーザーまたはグループが含まれるサブツリーを選択します。エンタープライズ・ロールをユーザーに付与する場合は、「表示」で「USER」を選択します。ロールをグループに付与する場合は、「表示」で「グループ」を選択します。必要に応じて、「名前」フィールドにユーザーまたはグループの共通名を入力します。「ジャンプ」をクリックします。
エンタープライズ・ロールを付与するユーザーまたはグループを選択します。「選択」をクリックします。
「エンタープライズ・ロールの編集」ページで「続行」をクリックします。
「ドメインの構成」ページで「OK」をクリックします。
プロキシ権限はエンタープライズ・ドメイン・レベルで作成されます。プロキシ権限により、エンタープライズ・ユーザーはローカル・データベース・ユーザーの代わりとなることができます。つまり、エンタープライズ・ユーザーはローカル・データベース・ユーザーとしてデータベースにログインできます。プロキシ権限は、個々のエンタープライズ・ユーザーまたはグループに付与できます。プロキシ権限は、複数のデータベース間でエンタープライズ・ユーザーとして動作する中間層アプリケーションでは特に有用です。
エンタープライズ・ドメインに対してプロキシ権限を作成するには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「エンタープライズ・ドメインの管理」をクリックします。
「エンタープライズ・ドメインの管理」ページが表示されます。このページには、アイデンティティ管理レルム内のエンタープライズ・ドメインが一覧表示されます。
構成するエンタープライズ・ドメインを選択します。「構成」をクリックします。
「ドメインの構成」ページが表示されます。
「プロキシ権限」タブをクリックします。
「作成」をクリックして新しいプロキシ権限を作成します。
「プロキシ権限の作成」ページが表示されます。
「名前」フィールドに、プロキシ権限の名前を入力します。「続行」をクリックします。
「ドメインの構成」ページにプロキシ権限が表示されます。
次に、権限に対するターゲット・データベース・ユーザーを追加する必要があります。また、エンタープライズ・ユーザーまたはグループに権限を付与し、ターゲット・データベース・ユーザーのプロキシとして動作できるようにする必要があります。
プロキシ権限に対するターゲット・データベース・ユーザーを追加するには、次のようにします。
「ドメインの構成」ページで作成したプロキシ権限を選択します。「編集」をクリックします。
「プロキシ権限の編集」ページが表示されます。
「ターゲットDBユーザー」タブが選択されていることを確認します。「追加」をクリックします。
「検索と選択」ウィンドウが表示されます。エンタープライズ・ユーザー・プロキシを許可するように変更されているすべてのデータベース・ユーザーのリストが表示されます。
プロキシするターゲット・データベース・ユーザーを選択します。「選択」をクリックします。
これで、エンタープライズ・ユーザーまたはグループにプロキシ権限を付与できます。
エンタープライズ・ユーザーまたはグループにプロキシ権限を付与するには、次のようにします。
「プロキシ権限の編集」ページで「権限受領者」タブをクリックします。
「追加」をクリックします。
「選択: ユーザーまたはグループ」ウィンドウが表示されます。
検索ベースを選択するか、ユーザーまたはグループが含まれるサブツリーを選択します。プロキシ権限をユーザーに付与する場合は、「表示」で「USER」を選択します。プロキシ権限をグループに付与する場合は、「表示」で「グループ」を選択します。必要に応じて、「名前」フィールドにユーザーまたはグループの共通名を入力します。「ジャンプ」をクリックします。
プロキシ権限を付与するユーザーまたはグループを選択します。「選択」をクリックします。
「プロキシ権限の編集」ページで「続行」をクリックします。
「ドメインの構成」ページで「OK」をクリックします。
エンタープライズ・ユーザーは、パスワード認証、SSL認証またはKerberos認証を使用して認証できます。エンタープライズ・ドメインに対して許可される認証モードは、Enterprise Managerを使用して設定できます。また、エンタープライズ・ドメイン内のデータベースに対して現行ユーザーのデータベース・リンクを有効にできます。これらのリンクを使用すると、データベースは相互に信頼してユーザーを認証できるようになります。
ユーザー認証タイプを構成し、現行ユーザーのデータベース・リンクを有効にするには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「エンタープライズ・ドメインの管理」をクリックします。
「エンタープライズ・ドメインの管理」ページが表示されます。このページには、アイデンティティ管理レルム内のエンタープライズ・ドメインが一覧表示されます。
構成するエンタープライズ・ドメインを選択します。「構成」をクリックします。
「ドメインの構成」ページが表示されます。
「構成」タブをクリックします。
「許容されたユーザー認証タイプ」で、許可する認証タイプを選択します。
ドメインに対して現行ユーザーのデータベース・リンクを有効にする場合は、「このドメインの現行ユーザーのデータベース・リンクを有効化します。」を選択します。
「OK」をクリックします。
ドメイン管理者は、ドメインにおけるすべての権限を持ちます。ドメインに対するデータベースの追加または削除、ユーザー・スキーマ・マッピングの作成、プロキシ権限の管理およびドメイン構成設定の変更ができます。ドメイン管理者は、Enterprise Managerから追加または削除できます。
エンタープライズ・ドメイン管理者を追加するには、次のようにします。
Enterprise Managerにログインします。
「サーバー」タブをクリックします。「セキュリティ」セクションで「エンタープライズ・ユーザー・セキュリティ」をクリックします。
「Oracle Internet Directoryログイン」ページが表示されます。
「ユーザー」フィールドに、エンタープライズ・ユーザーを管理できるディレクトリ・ユーザーの識別名(DN)を入力します。「パスワード」フィールドに、ユーザー・パスワードを入力します。「ログイン」をクリックします。
「エンタープライズ・ユーザー・セキュリティ」ページが表示されます。
「エンタープライズ・ドメインの管理」をクリックします。
「エンタープライズ・ドメインの管理」ページが表示されます。このページには、アイデンティティ管理レルム内のエンタープライズ・ドメインが一覧表示されます。
構成するエンタープライズ・ドメインを選択します。「構成」をクリックします。
「ドメインの構成」ページが表示されます。
「管理者」タブをクリックします。エンタープライズ・ドメインの管理者のリストが表示されます。
「追加」をクリックして管理者を追加します。
「ユーザーの選択」ウィンドウが表示されます。
「検索ベース」を選択します。検索ベースは、ユーザーを探すために検索するディレクトリ・サブツリーです。「ジャンプ」をクリックします。
管理者として追加するユーザーを選択します。「選択」をクリックします。
「ドメインの構成」ページにユーザーが追加されます。
ユーザーが他の管理者を追加または削除できるようにする場合は、追加されたユーザーに対応する「管理グループ所有者」チェック・ボックスを選択します。
「OK」をクリックします。