この章では、ユーザー、グループおよびサービスに関するすべてのデータを1つのリポジトリに格納する方法、およびこれらのデータの管理を複数の管理者に委任する方法について説明します。また、Oracle Internet Directoryでのデフォルトのセキュリティ構成についても説明します。
この章の項目は次のとおりです。
注意: この章で言及するOracle Delegated Administration Servicesはすべて、Oracle Delegated Administration Services 10g(10.1.4.3.0)以上のことです。 |
Oracle Identity Managementを使用すると、ユーザー、グループおよびサービスのすべてのデータを1つのリポジトリに格納し、各データ・セットに特定の管理者を割り当てることができます。Oracle Identity Managementは、集中型のリポジトリとカスタマイズされた委任アクセスの両方を提供できる、安全でスケーラブルなものです。
この項の項目は次のとおりです。
委任モデルを使用すると、グローバル管理者は、ホスティングされた企業のアイデンティティ管理レルムを作成し、管理する権限をレルム管理者に委任できます。一方、レルム管理者は、アプリケーション用パスワード、個人データおよび作業環境を変更する権限をエンド・ユーザーおよびグループに委任できます。このようにして、各タイプのユーザーに、適切なレベルの権限を与えることができます。
必要な権限を委任するには、ユーザーを適切な管理グループに割り当てます。たとえば、エンタープライズ・ユーザーと電子メール・サービスに関するデータの両方をディレクトリに格納し、それぞれのデータ・セットに一意の管理者を割り当てる必要があるとします。ユーザーをエンタープライズ・ユーザーの管理者として指定するには、そのユーザーをエンタープライズ・ユーザー管理者グループなどに割り当てます。ユーザーを電子メール・サービスの管理者として指定するには、そのユーザーを電子メール・サービス管理者グループなどに割り当てます。
図30-1に、Oracle Fusion Middleware環境での委任の流れを示します。
図30-1に示すように、Oracle Fusion Middleware環境では、ディレクトリのスーパーユーザー(cn=orcadmin
)は次のものを作成します。
Oracleコンテキスト
レルム
レルム固有のOracleコンテキスト
レルム管理者用のエントリ(cn=orcladmin, cn=users,
Enterprise DN
)
一方、レルム管理者は、Oracleコンテキスト管理者グループにユーザーを割り当てることで、Oracleコンテキストの管理を特定のユーザーに委任します。その後、Oracleコンテキスト管理者は、Oracle Fusion Middleware管理者グループにユーザーを割り当てることで、Oracle Application Serverの管理を1人以上のユーザーに委任します。Oracle Fusion Middlewareの管理者は、Oracle Fusion Middlewareコンポーネントをインストールおよび管理し、ユーザーやグループのデータ管理をユーザーおよびグループの管理者グループに委任します。ユーザーおよびグループの管理者は、ユーザーおよびグループを作成します。他のユーザーにユーザーおよびグループの管理者権限を付与することもできます。
Oracle Internet Directoryを初めてインストールすると、デフォルトの構成により、ディレクトリ情報ツリー(DIT)内の様々なポイントでアクセス制御ポリシーが確立されます。デフォルトのアクセス制御は、この章の後半で説明するとおり、「ユーザー」および「グループ」のコンテナに配置されます。同様に、特定のディレクトリ・エンティティのデフォルトの権限についても、この章の後半で説明します。また、表30-2に示すように、特定のデフォルトの権限はすべての人および各ユーザーに付与されます。
表30-1 すべての人および各ユーザーに付与されるデフォルトの権限
対象 | デフォルトの権限 |
---|---|
すべての人 |
ルートDSEでの権限は次のとおりです。
|
各ユーザー |
|
企業のセキュリティ要件を満たすように、このデフォルト構成をカスタマイズできます。
表30-2に、Oracleテクノロジ・スタックの管理に必要な権限を示します。
表30-2 Oracleテクノロジ・スタックの管理権限
権限のタイプ | 説明 | 詳細情報の参照先 |
---|---|---|
ユーザーおよびグループの管理権限 |
これらの権限は、アイデンティティ管理インフラストラクチャを使用するOracleコンポーネントまたはエンド・ユーザー自身のいずれかに委任されます。 |
|
デプロイメント時権限 |
この権限は、Oracleコンポーネントをデプロイするために必要です。ディレクトリ内部で適切なエントリを作成する権限や、共通リポジトリにメタデータを格納する権限を含む場合もあります。そのような権限は、Oracle Portal管理者などに与える必要があります。 |
|
実行時権限 |
この権限は、アイデンティティ管理インフラストラクチャ内のOracleコンポーネントの実行時の対話を円滑にするために必要な権限です。ユーザー属性の表示、新規ユーザーの追加、グループ・メンバーシップの変更のための権限が含まれます。そのような権限は、各Oracleコンポーネントに固有な管理ツールがOracle Internet Directory内部でエントリにアクセス、またはエントリを作成できるように、その管理ツールに対し与える必要があります。 |
|
注意: OracleコンテキストでデフォルトACLを変更する場合は注意が必要です。変更により、ご使用の環境内でOracleコンポーネントのセキュリティが無効になることがあります。OracleコンテキストでデフォルトACLを安全に変更できるかどうかの詳細は、各コンポーネントのドキュメントを参照してください。 |
管理権限は、アイデンティティ管理インフラストラクチャを使用するOracleコンポーネントまたはエンド・ユーザー自身のいずれかに委任されます。権限は、アイデンティティ(ユーザーやアプリケーションなど)、またはロールやグループに対して委任できます。
この項の項目は次のとおりです。
管理権限を委任するには、Oracle Internet Directoryスーパーユーザーが、次の作業を行います。
アイデンティティ管理レルムを作成します。
そのレルムでレルム管理者と呼ばれる特別なユーザーを識別します。
そのレルム管理者にすべての権限を委任します。
このレルム管理者は、Oracle定義済ロール(Oracle Fusion Middleware管理者など)に、Oracleコンポーネントが必要とする特定の権限を委任します。Oracleコンポーネントは、デプロイ時にこれらのロールを受け取ります。
レルム管理者は、Oracleコンポーネント固有のロールに権限を委任する他に、デプロイメントに固有のロール(たとえば、ヘルプ・デスク管理者用のロール)を定義し、権限をこれらのロールに付与できます。委任された管理者は、これらのロールをさらにエンド・ユーザーに付与することができます。実際、ユーザー管理タスクの大部分はセルフサービス(電話番号の変更やアプリケーション固有の作業環境の指定など)に関係しているため、レルム管理者とOracleコンポーネント管理者は、これらの権限をエンド・ユーザーに委任できます。
グループの場合、1人以上の所有者(通常、エンド・ユーザー)を指定できます。これらの所有者に必要な管理権限が付与された場合、所有者は、Oracle Internet Directory Self-Service Console、Oracle Directory Services Managerまたはコマンドライン・ツールを使用してグループを管理できます。
ユーザーの管理には、次の権限が含まれます。
ユーザー・エントリを作成および削除する権限
ユーザー属性を変更する権限
ユーザー管理を他のユーザーに委任する権限
ユーザーを作成するためのアクセス制御ポリシー・ポイント(ACP)は、アイデンティティ管理レルムの「ユーザー」コンテナにあります。
この項では、これらの権限について説明します。
レルムに対してユーザーを作成するには、管理者はサブスクライバDASユーザー作成グループのメンバーである必要があります。表30-3に、このグループの特性を示します。
表30-3 サブスクライバDASユーザー作成グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
デフォルトのレルムの「ユーザー」コンテナにあるACLにより、レルムのOracleコンテキストのサブスクライバDASユーザー作成グループは、「ユーザー」コンテナの下でユーザーを作成できます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 ユーザー権限割当てグループのメンバー。 DAS管理者グループのメンバー。 このグループの所有者。 |
DN |
|
ユーザー属性を変更するには、管理者はサブスクライバDASユーザー編集グループのメンバーである必要があります。表30-4に、このグループの特性を示します。
表30-4 サブスクライバDASユーザー編集グループの特性
特性 | 説明 |
---|---|
デフォルトACP |
デフォルトのアイデンティティ管理レルムの「ユーザー」コンテナにあるACLにより、レルムのOracleコンテキストのサブスクライバDASユーザー編集グループは、ユーザーの各種属性を変更できます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 ユーザー権限割当てグループのメンバー。 DAS管理者グループのメンバー。 このグループの所有者。 |
DN |
|
委任管理者は、ディレクトリで指定された操作を実行できます。また、前述のユーザー作成、ユーザー編集、ユーザー削除の各グループにユーザーを追加する権限を必要とします。
委任管理者にユーザー管理権限を付与するには、付与する管理者がユーザー権限割当てグループのメンバーである必要があります。表30-6に、このグループの特性を示します。
ユーザーとグループの管理には、次の権限が含まれます。
グループ・エントリを作成および削除する権限
グループ属性を変更する権限
グループ管理を他のユーザーに委任する権限
グループを作成するためのACPは、アイデンティティ管理レルムの「グループ」コンテナにあります。
Oracle Internet Directoryでグループを作成するには、管理者はグループ作成グループのメンバーである必要があります。表30-7に、このグループの特性を示します。
レルムの「グループ」コンテナの下のグループ属性を変更するには、管理者はグループ編集グループのメンバーである必要があります。表30-8に、このグループの特性を示します。
グループの管理を他のユーザーに委任する(つまり、前述のグループ作成、グループ編集またはグループ削除の各グループでユーザーを追加または削除する)には、管理者はグループ権限割当てグループのメンバーである必要があります。表30-10に、このグループの特性を示します。
この項では、Oracleコンポーネントをデプロイするグループについて説明します。また、これらの管理者が実行するタスクと、付与できる権限についても説明します。この項の項目は次のとおりです。
注意: Oracle Internet Directoryのスーパーユーザーは、Oracle Fusion Middleware管理者およびトラステッド・アプリケーション管理者のすべての権限を所有しています。また、Oracle Fusion Middleware管理者グループのメンバーである必要があります。スーパーユーザーは、次の割当てを実行できます。
|
管理者がOracleコンポーネントをデプロイできるようにするには、スーパーユーザーは次の手順を実行します。
特定のデプロイメント権限をOracle Fusion Middleware管理者グループなどの様々なグループに付与します。
管理者をこれらの権限グループに追加します。
一方、委任管理者は、権限を他の管理者に委任できます。
表30-11に、Oracle Application Server管理者グループの特性を示します。
表30-11 Oracle Application Server管理者グループの特性
特性 | 説明 |
---|---|
タスク |
ディレクトリでリポジトリ・データベース登録エントリを作成する、リポジトリ・データベースのインストールの実行。 中間層インストールの実行。中間層をリポジトリと関連付けるには、ユーザーは特定のリポジトリ・データベースでの適切な権限が必要です。 Oracle Internet Directoryでアプリケーション・エンティティを作成する、Oracle Fusion Middlewareコンポーネントのインストールと構成。 この項で後述するリストに示す実行時権限のコンポーネント・エンティティへの付与。 コンポーネントが更新通知を受信できるようにするための、コンポーネントに対するプロビジョニング・プロファイルの構成。 |
このグループがコンポーネントに委任できる権限 |
パスワード、証明書および類似のセキュリティ資格証明以外の一般ユーザー属性を読み取る権限。 一般グループ属性を読み取る権限。 グループを作成、編集および削除する権限。 ユーザーを認証する権限。 アプリケーション・ベリファイアを読み取る権限。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者。 このグループの所有者。 |
DN |
|
ユーザー管理アプリケーション管理者は、Oracle Fusion Middleware管理者グループのメンバーである必要があります。
表30-12に、ユーザー管理アプリケーション管理者グループの特性を示します。
表30-12 ユーザー管理アプリケーション管理者グループの特性
特性 | 説明 |
---|---|
タスク |
ユーザー管理アプリケーション管理者は、ユーザー管理操作を実行するためのインタフェースを持つ特定のアプリケーションをインストールします。たとえば、Oracle PortalやOracle Application Server Wirelessなどです。 |
このグループがコンポーネントに委任できる権限 |
ユーザー属性を作成、編集および削除する権限。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者。 このグループの所有者。 |
DN |
|
トラステッド・アプリケーション管理者は、Oracle Fusion Middleware管理者グループのメンバーである必要があります。
表30-13に、トラステッド・アプリケーション管理者グループの特性を示します。
表30-13 トラステッド・アプリケーション管理者グループの特性
特性 | 説明 |
---|---|
タスク |
Oracle Single Sign-On、Oracle Delegated Administration Services、Oracle Application Server Certificate Authorityなど、特定のアイデンティティ管理コンポーネントをインストールします。 |
このグループがコンポーネントに委任できる権限 |
ユーザー・パスワードの読取り、比較、再設定を行う権限。 エンド・ユーザーのプロキシとなる権限。 ユーザーの証明書とSMIME証明書の読取り、比較、変更を行う権限。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者。 このグループの所有者。 |
DN |
|
多くのOracleコンポーネントでは、Oracle Internet Directoryでユーザー・エントリが管理されているため、それに対応する権限が必要です。次に例を示します。
Oracle Single Sign-On Serverがユーザーを認証する場合、そのサーバーには次の権限が必要です。
独自のアイデンティティを使用してOracle Internet Directoryに接続する権限
ユーザーの入力したパスワードが、ディレクトリに格納されているそのユーザーのパスワードと一致するかどうかを検証する権限
このため、Oracle Single Sign-On Serverはユーザー・パスワードを比較する権限が必要です。Oracle Single Sign-OnのCookieを設定するには、ユーザー属性を読み取る権限が必要です。
ユーザーにアクセス権を付与するには、Oracle Portalはそのユーザーの属性を取得する必要があります。そのためには、アクセス権を必要とするユーザーにかわって、プロキシ・ユーザーとしてOracle Internet Directoryにログインします。したがって、プロキシ・ユーザー権限が必要です。
通常、Oracleコンポーネントでは、次の権限が必要となる場合があります。
ユーザー・パスワードの読取りと変更を行う権限
ユーザー・パスワードの比較を行う権限
アプリケーションにアクセスするユーザーのプロキシとなる権限
すべてのOracleコンポーネントのメタデータが格納されるOracleコンテキストを管理する権限
ほとんどのOracleコンポーネントには、事前定義された権限のセットが付属しています。これらの権限は、個々のビジネス要件を満たすように変更できます。たとえば、要件を満たすために、ユーザー・エントリを作成および削除するための権限を削除できます。
関連項目: コンポーネント委任モデルの詳細は、10g(10.1.4.0.1)ライブラリの『Oracle Application Serverセキュリティ・ガイド』を参照してください。 |
この項では、Oracleコンポーネントが必要とするセキュリティ権限を説明します。内容は次のとおりです。
ユーザー・パスワードの読取りと変更は、ディレクトリにあるセキュリティ関係の属性(userPassword
属性など)に対する管理権限を必要とします。これには表30-14に示すユーザー・セキュリティ管理者グループでのメンバーである必要があります。
特性 | 説明 |
---|---|
デフォルトACP |
ルート(DSEエントリ)でのデフォルトのACLポリシーにより、ユーザー・セキュリティ管理者グループのメンバーは、ルートOracleコンテキストで |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 トラステッド・アプリケーション管理者グループのメンバー。 |
DN |
|
ユーザー・パスワードの比較には、ユーザーのuserPassword
属性を比較する権限が必要です。この操作は、Oracle Internet Directoryに格納されたパスワードを使用してエンド・ユーザーを認証するOracle Unified Messagingのようなコンポーネントにより実行されます。
ユーザー・パスワードを比較するには、表30-15に示す認証サービス・グループのメンバーである必要があります。
パスワード・ベリファイアを比較するには、userpassword
属性を比較する権限が必要です。パスワード・ベリファイアを比較するには、表30-16に示すベリファイア・サービス・グループのメンバーである必要があります。
プロキシ・ユーザーは、エンド・ユーザーの代理となる権限を持ち、そのユーザーが権限を持つ操作をユーザーにかわって実行します。Oracle Fusion Middleware環境では、Oracle Delegated Administration Servicesがエンド・ユーザーのプロキシとなり、Oracle Internet Directory Self-Service Consoleを通じて、そのユーザーのかわりに操作を実行します。そのような場合、ディレクトリ・サーバーに対するアクセス制御がユーザーの実行できる操作を実質的に制御します。
エンド・ユーザーのプロキシとなるには、表30-17に示すユーザー・プロキシ権限グループのメンバーである必要があります。
特性 | 説明 |
---|---|
デフォルトACP |
デフォルトのアイデンティティ管理レルムの「ユーザー」コンテナでのACLポリシーにより、ユーザー・プロキシ権限グループは、エンド・ユーザーのプロキシとなることができます。 |
管理者 |
Oracle Internet Directoryスーパーユーザー Oracleコンテキスト管理者グループのメンバー。 グループの所有者。これらの所有者の識別名は、Oracle Fusion Middleware管理者グループのグループまたはメンバーの トラステッド・アプリケーション管理者グループのメンバー。 |
DN |
|
特定のOracleコンテキストを管理するには、そのコンテキストへの完全なアクセス権が必要です。Oracleコンテキストを管理するには、表30-18に示すOracleコンテキスト管理者グループのメンバーである必要があります。Oracleコンテキスト管理者グループは、Oracleコンテキストごとに存在し、特定のOracleコンテキストでの管理権限を持ちます。
共通ユーザー属性には、mail
、orclguid
、displayname
、preferredlanguage
、orcltime
、gender
、dateofbirth
、telephonenumber
およびwirelessaccountnumber
があります。これらの属性を読み取るには、表30-19に示す共通ユーザー属性グループのメンバーである必要があります。
共通グループ属性には、cn
、uniquemember
、displayname
およびdescription
があります。これらの属性を読み取るには、表30-20に示す共通グループ属性グループのメンバーである必要があります。
サービス・レジストリのコンテンツを表示するには、表30-21に示すサービス・レジストリのビューア・グループのメンバーである必要があります。
サービス・レジストリを管理するには、表30-22に示すサービス・レジストリの管理グループのメンバーである必要があります。