Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-01 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Privileged Account Managerサーバーを追加、構成および管理する管理者が確認しておく必要のある情報を提供します。
この章の内容は次のとおりです。
注意:
|
Oracle Privileged Account Managerサーバーは、パスワード・リクエストの処理、パスワードの生成、およびパスワード・キーストアの保護を行うコンポーネントです。
Oracle Privileged Account Managerサーバーは、Oracle Privileged Account Managerの中核機能を実装し、次のものを特定するための認可決定を行います。
管理者またはエンド・ユーザーに公開するターゲットおよび特権アカウント
管理者およびエンド・ユーザーがターゲット、特権アカウントおよびポリシーに対して実行できる操作
また、Oracle Privileged Account Managerサーバーは次のことを行います。
アカウントの使用ポリシーおよびパスワード・ポリシーのサポート
前述の認可決定の実施
OPSSトラスト・サービスによるSAMLベースのOracle Security TokenおよびHTTP Basic認証を使用した認証のサポート
Oracle Privileged Account Managerサーバーの異なる管理ロールのサポート
Oracle Privileged Account Managerサーバーを追加および管理するには、「アプリケーション構成者」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。
この章で説明する手順では、次のOracleマニュアルに含まれる情報および手順を参照しています。Oracle Privileged Account Managerサーバーの構成を開始する前に、必要に応じて参照先の概念、専門用語および手順を確認してください。
表4-1 参照マニュアル
参照内容 | 参照先 |
---|---|
管理ロール |
|
Oracle Privileged Account ManagerおよびOracle Identity Navigatorでサポートされるアイデンティティ・ストアおよびポリシー・ストアの構成 |
Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドのシステム要件と動作保証情報に関する項 |
Oracle WebLogic Serverの概念および専門用語 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。 |
Oracle WebLogic Serverでのデフォルトの認証プロバイダの作成 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。 |
現在の環境でのアイデンティティ・ストアの構成 |
各ベンダーの製品ドキュメント |
LDAPベース・サーバーでのOracle Virtual Directoryの構成 |
『Oracle Fusion Middleware Oracle Virtual Directory管理者ガイド』のLDAPアダプタの作成に関する項 |
Oracle WebLogic ServerでのOVD認証プロバイダの構成 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプ |
WLSTを使用したポリシー・ストアの関連付け |
『Oracle® Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOracle Internet Directoryサーバーでのノードの設定に関する項およびreassociateSecurityStoreに関する項 |
Enterprise Managerを使用したポリシー・ストアの関連付け |
『Oracle® Fusion Middlewareアプリケーション・セキュリティ・ガイド』のFusion Middleware Controlでの再関連付けに関する項 |
Oracle Privileged Account Managerサーバーの管理 |
第4.4項「Oracle Privileged Account Managerサーバーの管理」 |
注意: Oracle Privileged Account Manager管理者およびユーザーは、Oracle Privileged Account Managerの初期設定中を除き、通常はOracle Identity Navigatorインタフェースを使用する必要はありません。 |
この項では、Oracle Privileged Account Managerの新しい外部アイデンティティ・ストアを構成する方法について説明します。
この項の内容は次のとおりです。
Oracle Identity Navigatorの「アクセス権限」ペインから検索する場合、ユーザーを表示する前にドメイン・アイデンティティ・ストアを構成する必要があります。アイデンティティ・ストアをメイン認証ソースとして構成するには、Oracle Identity NavigatorがインストールされているOracle WebLogic Serverドメインを構成する必要があります。
この項では、サポートされているLDAPベース・ディレクトリ・サーバーでOracle Internet DirectoryまたはOracle Virtual Directoryを使用してドメイン・アイデンティティ・ストアを構成する方法について説明します。アイデンティティ・ストアをWebLogic Server管理コンソールで構成します。
注意:
|
Oracle WebLogic ServerでOracle Internet Directory認証プロバイダを構成するには、次の手順を実行します。
Oracle WebLogic Server管理コンソールにログインし、「チェンジ・センター」で「ロックして編集」をクリックします。
Oracle WebLogic Server管理コンソールで左ペインから「セキュリティ・レルム」を選択し、構成するレルムをクリックします。たとえば、デフォルトのレルムはmyrealm
です。
「プロバイダ」タブを選択し、「認証」サブタブを選択します。
「新規」をクリックし、「新しい認証プロバイダの作成」ページを起動して、次のようにフィールドを完了します。
名前: 認証プロバイダの名前を入力します。たとえば、MyOIDDirectory
と入力します。
タイプ: リストから、「OracleInternetDirectoryAuthenticator」を選択します。
「OK」をクリックして認証プロバイダ表を更新します。
認証プロバイダの表で、新たに追加した認証プロバイダをクリックします。
「設定」で、「構成」タブを選択し、「共通」タブを選択します。
「共通」タブで、「制御フラグ」を「SUFFICIENT」に設定します。
認証プロバイダの制御フラグの属性を設定すると、認証プロバイダの実行順序が決まります。制御フラグ属性に使用可能な値は次のとおりです。
REQUIRED - このLoginModuleは成功する必要があります。失敗した場合でも、認証は、構成された認証プロバイダのLoginModulesリストの下位方向へ進みます。この設定がデフォルトです。
REQUISITE - このLoginModuleは成功する必要があります。他の認証プロバイダが構成されていて、このLoginModuleが成功した場合、認証はLoginModulesリストを下位方向へ進みます。それ以外の場合は、制御がアプリケーションに戻ります。
SUFFICIENT - このLoginModuleは成功する必要はありません。成功した場合、制御はアプリケーションに戻ります。失敗した場合、他の認証プロバイダが構成されていれば、認証はLoginModuleリストを下位方向に進みます。
OPTIONAL - このLoginModuleは成功でも失敗でもかまいません。ただし、JAAS制御フラグがOPTIONALに設定されたセキュリティ・レルムですべての認証プロバイダが構成されている場合は、ユーザーは構成されたいずれかのプロバイダの認証テストに合格する必要があります。
「保存」をクリックします。
「プロバイダ固有」タブをクリックした後、使用する環境の値を使用して次の必要な設定を入力します。
ホスト: Oracle Internet Directoryサーバーのホスト名。
ポート: Oracle Internet Directoryサーバーがリスニングしているポート番号。
プリンシパル: Oracle Internet Directoryサーバーへの接続に使用されるOracle Internet Directoryユーザーの識別名(DN)。例: cn=OIDUser、cn=users、dc=us、dc=mycompany、dc=com。
資格証明: プリンシパルとして入力されたOracle Internet Directoryユーザーのパスワード。
グループ・ベースDN: グループを含むOracle Internet Directoryサーバー・ツリーのベース識別名(DN)。
ユーザー・ベースDN: ユーザーを含むOracle Internet Directoryサーバー・ツリーのベース識別名(DN)。
すべてのユーザーのフィルタ: LDAP検索フィルタ。詳細は、「詳細」をクリックします。
名前指定によるユーザー・フィルタ: LDAP検索フィルタ。詳細は、「詳細」をクリックします。
ユーザー名属性: 認証に使用する属性(cn、uid、mailなど)。たとえば、ユーザーの電子メール・アドレスを使用して認証を行うには、この値をmailに設定します。
「取得したユーザー名をプリンシパルとして使用する」を有効化します。
「保存」をクリックします。
myrealmページの「設定」から、「プロバイダ」タブを選択した後、「認証」タブを選択します。
「並替え」をクリックします。
新しい認証プロバイダを選択し、矢印ボタンを使用してこれをリストの最初に移動します。
「OK」をクリックします。
「認証プロバイダ」表の「DefaultAuthenticator」をクリックし、DefaultAuthenticatorの「設定」ページを表示します。
「構成」タブ、「共通」タブの順に選択し、「制御フラグ」リストから「SUFFICIENT」を選択します。
チェンジ・センターで、変更のアクティブ化をクリックします。
Oracle WebLogic Serverを再起動します。
LDAPディレクトリ(Oracle Internet DirectoryまたはOracle Virtual Directory)に存在するユーザーが問題なくOracle Privileged Account Managerにログインできることを確認して、構成および設定を検証します。
Oracle Virtual Directoryをドメイン・アイデンティティ・ストアとして使用するには、次の手順を実行する必要があります。
Oracle Fusion Middleware Oracle Virtual Directory管理者ガイドのLDAPアダプタの作成に関する項の説明に従ったLDAPベース・サーバーでのOracle Virtual Directoryの構成
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプの説明に従ったOracle WebLogic ServerでのOVD認証プロバイダの構成
Oracle WebLogic Serverで認証プロバイダを構成する場合、前述の手順9の説明に従って「取得したユーザー名をプリンシパルとして使用する」オプションを有効にする必要があります。
共通管理者ロールをサポートするために、ドメイン・アイデンティティ・ストアにエンタープライズ・ロールを作成する必要があります。LDAPベースのディレクトリ・サーバーで構成されたOracle Internet DirectoryとOracle Virtual Directoryの両方にテンプレートが用意されています。これらのテンプレートをOracle Internet Directory移行ツール(ldifmigrator
)で使用すると、他のディレクトリまたはアプリケーション固有リポジトリからのLDIFファイル出力をOracle Internet Directoryで認識される形式に変換できます。
共通管理者ロール用のエンタープライズ・ロールを構成する前に、第4.3.1項「外部アイデンティティ・ストアの構成」の説明に従ってドメイン・アイデンティティ・ストアを構成する必要があります。
注意: Oracle Privileged Account ManagerおよびOracle Identity Navigatorでサポートされるアイデンティティ・ストアの構成の詳細は、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドのシステム要件と動作保証情報に関する項を参照してください。 |
ドメイン・アイデンティティ・ストアでエンタープライズ・ロールを構成するには、次のようにします。
ORACLE_HOME/common/templates
からご使用の環境に対応するテンプレートを選択します。
Oracle Internet Directoryの場合はoinav_template_oid.ldif
を使用します。
Oracle Virtual Directoryの場合はoinav_template_ovd.ldif
を使用します。
ldifmigrator
ツールを使用するには、JAVA_HOME
を設定し、PATH
にJAVA_HOME
/bin
を含めます。
ldifmigrator
ツールを使用して、次のように<GroupBase>
の下のアイデンティティ・ストアにエンタープライズ・ロールを作成します。
Run java -cp MIDDLEWARE_HOME/oracle_common/modules/oracle.ldap_11.1.1
/ldapjclnt11.jar -DORACLE_HOME=ORACLE_HOME/oracle_common oracle.ldap.util.LDIFMigration input_file=<ldif template> output_file=<outputfile
> namespace=<GroupBase
> -load dn=<bindDn
> password=<> host=<hostName
> port=<portNumber
>
ここで、ldif templateはテンプレート名です。
注意:
|
この項では、Oracle Privileged Account Managerサーバーを管理するために管理者が必要とする情報を提供し、次の内容が含まれます。
Oracle Privileged Account ManagerコンソールからOracle Privileged Account Managerサーバーへの接続を構成するには、次の手順を使用します。
次のURLにログインしてOracle Privileged Account Managerを開きます。
http://adminserver_host:adminserver_port/oinav/opam
注意: 「アプリケーション構成者」管理ロールを持つユーザーとしてログインする必要があります(持たない場合、「サーバー構成」ページにアクセスできません)。 この管理ロールおよび他の管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」および第3.3.3項「ユーザーへのアプリケーション構成者ロールの割当て」を参照してください。 |
「管理」アコーディオンを開いて「サーバー構成」を選択します。
「サーバー構成」ページが表示されたら、ホスト名とSSLポート番号を入力します。
「SSLポート」フィールドの下にURLが表示されます。
「テスト」ボタンをクリックして接続設定をテストします。
通常は、構成のテストに成功したことを示すメッセージが表示されます。
「適用」ボタンをクリックしてこの接続情報を保存します。
次の手順を使用して、Oracle Privileged Account Managerサーバーを更新します。
Oracle Privileged Account Managerにログインします。
「管理」アコーディオンを開きます。
「サーバー構成」をクリックします。
「サーバー構成」ページが表示されたら、「ホスト」フィールドまたは「ポート」フィールドの一方または両方の値を編集できます。
「テスト」をクリックして新しい構成を確認します。
テストに成功したら、「適用」をクリックして新しい構成を保存します。