Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-01 |
|
![]() 前 |
![]() 次 |
この章では、次の項が含まれており、一般的に使用されているディレクトリ・テクノロジおよびID管理テクノロジと統合するためのOracle Privileged Account Managerの構成方法について説明しています。
この項では、Oracle Identity Managerを使用して、Oracle Privileged Account Managerの権限受領者であるLDAPグループに対するアクセスを管理する方法について説明します。
Oracle Identity Managerとの統合によって、Oracle Privileged Account Managerでは次のことが可能になります。
入社から退社までのアイデンティティ・ライフサイクルを管理できます。
HRシステムの更新に基づいて適切なLDAPグループに対してユーザーを自動的に追加および削除するネイティブ機能を提供します。
アカウントに対するアクセスを手動でリクエストする機能を提供します。
リクエストの承認を取得する機能がサポートされます。
Oracle Privileged Account Managerの独自のレポートを拡張するか、そのかわりとして、アテステーション・レポートで使用できるレポートがサポートされます。
この項の内容は次のとおりです。
Oracle Privileged Account Managerは、共有アカウントおよび特権アカウント(UNIXシステムのrootなど)を管理する目的で最適化されています。
Oracle Privileged Account Managerは、ユーザーが受領した権限付与に基づいて、ターゲット上でアカウントのパスワードをチェックアウトできるユーザーを判別します。権限付与は、直接行うか、グループのメンバーシップを通じて行うことができます。グループ自体は、静的または動的のいずれかです。
LDAPグループは、可能なかぎりエンタープライズ・ロールと一致している必要があります。たとえば、「データ・センター製品UNIX管理者」エンタープライズ・ロールがある場合、対応するLDAPグループが存在する必要があります。この一致の利点は、これらのグループを使用して、Oracle Privileged Account Managerターゲット・アカウントに加え、他のアプリケーションに対するアクセスを制御できることにあります。
注意: 新しいLDAPグループを作成するには、LDAP管理者に連絡してください。 |
Oracle Identity Managerと統合するためにOracle Privileged Account Managerを構成するには、Oracle Privileged Account Manager管理者として次のタスクを実行する必要があります。
Oracle Identity Managerでは、この統合をサポートするために次の機能が提供されます。
適切なエンタープライズ・ロールおよび権限のリソース・カタログへの移入。現実には、Oracle Identity Managerは実際のアカウントに直接アクセス権を付与するのではなく、そのアカウントの表現のみに付与するため、Oracle Privileged Account Managerターゲット・アカウントは権限です。
アカウント、権限およびロールの詳細は、Oracle Identity Managerのドキュメントを参照してください。
次のタスクを実行できるOracle Identity Manager管理者を構成する必要があります。
ユーザー画面を通じて手動で、またはHR/テキスト・フィードを使用して自動的にOracle Identity Managerにユーザーを追加する場合、ビジネス・ルールに基づいて適切なLDAPグループにユーザーを割り当てるOracle Identity Managerルールを構成します。
Oracle Identity Managerのネイティブ機能を使用して、Oracle Identity Managerリソース・カタログのアイテムに対するリクエストを作成し、Oracle Identity Managerカタログが適切に移入されていることを確認します。Oracle Identity Managerによって、ユーザーは、Oracle Identity Managerカタログに含まれる権限に対するアクセスをリクエストできます。
承認者フィールドに適切な値を設定します。たとえば、ある従業員が、長期間会社に不在の別の従業員の電子メール・アカウントに対するアクセスをリクエストする場合です。
緊急リクエストを処理します(Oracle Privileged Account Managerユーザーが通常のビジネス・プロセスの外部にあるシステムにアクセスする必要がある場合)。
緊急リクエストは、ビジネス要件およびビジネス・ルールに基づいて処理されます。たとえば、Oracle Privileged Account Managerユーザーがターゲットに対する権限を持っているが、アクセス・ポリシーの制限によってパスワードを取得できない場合、Oracle Privileged Account Manager管理者はそのターゲット・アカウントのアクセス・ポリシーを一時的に変更できます。
ユーザーがOracle Identity Managerを待機できない場合、Oracle Privileged Account Manager管理者は、かわりに手動で直接アクセスできます(アカウントに特定の権限受領者を追加するなど)。
Oracle Privileged Account Managerは、ワークフローをサポートするためにOracle Identity Managerを利用します。統合の要点は次のとおりです。
Oracle Privileged Account Manager管理者は、Oracle Privileged Account Managerのロールに付与された特権アカウントにアクセスします。
エンド・ユーザーは、Oracle Identity Managerを通じてこれらのロールのメンバーシップをリクエストできます。
これらのリクエストを承認するためにOracle Identity Managerの標準ワークフローが使用されます。
リクエストしたロールのメンバーシップによって、エンド・ユーザーは、Oracle Privileged Account Managerの対応する特権アカウントにアクセスできます。
この項では、Oracle Access Management Access Manager (Access Manager)によるOracle Privileged Account Managerとの統合方法について説明します。この統合シナリオを使用すると、Webゲート・エージェントを利用するAccess ManagerによってOracle Privileged Account Managerを保護できます。
この項の内容は次のとおりです。
第7.2.2項「シングル・サインオンの有効化」に説明されている手順を開始する前に、次のことに注意する必要があります。
この手順は、Oracle Internet Directoryをアイデンティティ・ストアとして構成していることを前提としますが、他のコンポーネント構成も可能です。サポートされている構成の詳細は、Oracle Technology Networkにあるシステム要件と動作保証情報のドキュメントを参照してください。
また、この手順では、Access Managerを使用してURLを保護する特定の例について説明します。記述されている内容はこのタイプの構成に一般的な方法ですが、ここで説明されているものと完全に同じ手順およびコンポーネントを使用しなくてもかまいません。たとえば、Oracle Internet Directoryは、Access Manager 11gに対して動作保証されているいくつかのアイデンティティ・ストアの1つです。
Oracle Adaptive Access ManagerをAccess Managerでの認証オプションとして使用できます。Oracle Adaptive Access Managerでは、Oracle Privileged Account Managerのレイヤー化セキュリティを実現するために使用できる厳密認証およびリスクベース認可が提供されます。
Oracle Privileged Account ManagerでOracle Adaptive Access Managerを有効にするには、Oracle Privileged Account Managerを保護するWebゲートの認証オプションとしてAccess Managerを選択します。
Oracle Privileged Account ManagerとともにOracle Identity Navigatorをデプロイし、Oracle Identity NavigatorをOracle Privileged Account Managerのユーザー・インタフェースとして使用している場合、Oracle Single Sign-Onを有効にしながらAccess ManagerによってOracle Identity Navigatorを保護することもできます。
手順については、Oracle Fusion Middleware Oracle Identity Management Suite統合ガイドのOracle Identity Navigatorとの統合に関する項を参照してください。
Oracle Privileged Account Managerは、ドメイン・エージェントによってデフォルトで保護されます。
デフォルトでは、Access Manager 11gエージェントによって、Oracle Privileged Account Managerおよび次のアイデンティティ管理コンソールにシングル・サインオン機能が提供されます。
Oracle Identity Manager
Access Manager
Oracle Adaptive Access Manager
Oracle Authorization Policy Manager
Oracle Identity Navigator
Access Managerエージェントが保護できるのは、単一のドメイン内のコンソールのみです。ご使用の環境が複数のドメインにまたがる場合、Oracle HTTP Server 11gにAccess Manager 11g WebGateを使用できます。Webゲートベースのシングル・サインオンのためにOracle Privileged Account Managerを構成する方法は、Oracle Identity Navigatorを構成する方法と同じです。Oracle Fusion Middleware Oracle Identity Management Suite統合ガイドのOracle Identity Navigatorとの統合に関する項を参照してください。
Access Managerで、任意のAccess Manager認証スキームをチャレンジ・メソッドとして使用して、Oracle Privileged Account Managerのユーザー・インタフェース用にシングル・サインオンを有効にできます。
前提条件を次に示します。
Oracle HTTP Serverがインストールされています。
Oracle HTTP Serverのインストール時に、「Oracle Webcache」および「選択されたコンポーネントとWebLogicドメインの関連付け」の選択を解除します。
Access Manager 11gが適切にインストールされ、構成されています。
Oracle HTTP Server 11gがOracle Privileged Account ManagerのフロントエンドのプロキシWebサーバーとしてインストールされ、構成されています。
Oracle HTTP Server 11g用のAccess Manager 11g WebGateがOracle HTTP Server 11g上にインストールされています。
関連項目: リストされているコンポーネントのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』を参照してください。 |
Oracle Privileged Account Managerでシングル・サインオンを有効にする手順の概要は、次のとおりです。
Access Manager管理コンソールを使用して、Oracle Privileged Account ManagerのURLを保護するエージェント用に新しいリソースを構成します。詳細は、第7.2.2.1項「エージェント用の新しいリソースの構成」を参照してください。
構成済のリソースおよびポリシーを持つAccess Managerドメインを指すように、Oracle HTTP Serverを構成します。詳細は、第7.2.2.2項「Access Managerドメイン用のOracle HTTP Serverの構成」を参照してください。
管理コンソールを使用して、2つの新しいアイデンティティ・プロバイダ、つまりAccess Manager Identity AsserterおよびOracle Internet Directory Authenticatorを追加します。詳細は、第7.2.2.3項「新しいアイデンティティ・プロバイダの追加」を参照してください。
WLSTコマンドを使用して、ブラウザ・セッションで複数のタブを使用する複数のアプリケーションに対するアクセスを有効にします。詳細は、第7.2.2.4項「複数のアプリケーションに対するアクセスの構成」を参照してください。
Access Manager管理コンソールで次の手順を実行します。
「ポリシー構成」タブを選択します。
「アプリケーション・ドメイン」で、Oracle Privileged Account ManagerのURLを保護するエージェントを選択します(たとえば、-OIMDomain
)。
「リソース」を選択し、作成アイコンをクリックして新しいリソースを追加します。タイプ、ホスト識別子および値(/oinav/…/*
)を入力し、「適用」ボタンをクリックします。
保護付きポリシー、または認証スキーマがLDAPスキーマであるポリシーを選択します。リソース表の「追加」アイコンをクリックし、ドロップダウン・リストからOracle Privileged Account ManagerのURL (/oinav/…/*
)を選択します。
認可ポリシーについて、手順を繰り返します。
Oracle HTTP Serverが、Oracle Privileged Account ManagerがインストールされているOracle WebLogic Serverコンテナのフロントエンドとなるように、次の手順を実行します。
Oracle HTTP Serverのサーバーconfig
ディレクトリ(たとえば、/scratch/mydir1/oracle/product/11.1.1/as_1/instances/instance1/config/OHS/ohs1
)にナビゲートし、mod_wl_ohs.conf
ファイルを見つけます。
<IfModule mod_weblogic.c>
ブロックに、保護するOracle Privileged Account Manager URLのホストおよびポート番号を追加します。例:
MatchExpression /oinav* WebLogicHost=host WebLogicPort=port
OHSインストールのbin
ディレクトリ(たとえば、/scratch/mydir1/oracle/product/11.1.1/as_1/instances/instance1/bin
)で、次のコマンドを実行することによってOracle HTTP Serverサーバーを再起動します。
-./opmnctl restartproc ias=component=ohs1
2つの新しいアイデンティティ・プロバイダを追加するには、次の手順を実行します。
管理コンソールを使用して、「セキュリティ・レルム」→「myrealm」→「プロバイダ」にナビゲートします。
Access Manager Identity AsserterおよびOracle Internet Directory Authenticatorという2つのプロバイダを追加します。
Access Manager Identity Asserterの「制御フラグ」をRequired
に設定します。
Oracle Internet Directory Authenticatorで次の設定を更新します。
「制御フラグ」をSufficient
に設定します。
「プロバイダ固有」タブを選択し、必要な変更を加えてOracle Internet Directoryサーバーのホスト、ポートおよびその他の資格証明を指定します。Oracle Internet Directory AuthenticatorでLDAP設定を適切に構成します。
LDAPのユーザーおよびグループがコンソールに反映されます。
次のようにプロバイダの順番を変更します。
Access Manager Identity Asserter
認証プロバイダ
デフォルトの認証プロバイダ
デフォルトのIDアサーション・プロバイダ
Oracle WebLogic Serverを再起動します。
Oracle HTTP Serverインストールのホストおよびポートを含む、保護されたOracle Privileged Account Manager URLを入力します。
http://OHSHost:OHSPort/oinav/faces/idmNag.jspx