Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-01 |
|
![]() 前 |
![]() 次 |
Oracle Privileged Account Managerは、コンソールとコマンドラインから管理できます。この章では、基本的な管理タスクの実行方法について説明します。
注意: この章では、Oracle Privileged Account Managerが『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の説明に従ってインストールおよび構成されていることを前提としています。 『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』の「Oracle Privileged Account Managerの構成」の章を参照すると特に役立ちます。 このガイドでOracle WebLogic管理サーバーまたは様々な管理対象サーバーを起動するように指示があった場合、『Oracle® Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracle Stackの起動と停止に関する項でその手順を参照してください。 |
この章の内容は次のとおりです。
11gリリース2のインストールが終了したら、次の作業を行うことをお薦めします。
表3-1を確認して、このリリースのOracle Privileged Account Managerを管理するために使用できる様々なインタフェースに対応するデフォルト・アプリケーションURLについて理解してください。
表3-1 デフォルト・アプリケーションURL
インタフェース | デフォルトURL |
---|---|
Oracle Identity Navigator |
http://adminserver_host:adminserver_port/oinav/ |
Oracle WebLogic Server管理コンソール |
http://adminserver_host:adminserver_port/console/ |
Oracle Privileged Account Managerコンソール |
http://adminserver_host:adminserver_port/oinav/opam |
Oracle Privileged Account Managerサーバー |
http://managedserver_host:managedserver_port/opam |
表3-2を確認して、このリリースのOracle Privileged Account Managerの様々なデフォルト・ポートについて理解してください。
表3-2 デフォルト・ポート
ポート・タイプ | デフォルト・ポート | 説明 |
---|---|---|
Oracle Privileged Account Manager |
18102 |
Oracle Privileged Account ManagerサーバーがデプロイされるWebLogic管理対象サーバーのデフォルトのSSL有効ポート。 shiphome (購入時の環境など)には、Oracle Privileged Account Managerに関連する次の2つのWebLogicサーバーがあります。
|
WebLogicによるSSLへの応答 |
7002 |
Oracle Identity NavigatorおよびOracle Privileged Account ManagerコンソールがデプロイされるWebLogic管理サーバーのデフォルトのSSL有効ポート。 |
Oracle Privileged Account Managerでは、管理者によって識別されるアカウント資格証明を保護、共有、監査および管理できます。これらの機能を提供するため、Oracle Privileged Account Managerでは、ターゲット・システムの特権アカウントにアクセスしてそれを管理できる必要があります。
コネクタによって、Oracle Privileged Account Managerは、LDAPやOracle Databaseなどのターゲット・システムと相互作用して、それらのシステム上でOracle Privileged Account Manager関連の管理操作を実行できます。
Oracle Privileged Account Managerでは、ICF標準に準拠するコネクタを利用します。
この項では、Oracle Privileged Account ManagerでこれらのICFコネクタを使用する方法について説明します。内容は次のとおりです。
アイデンティティ・コネクタ・フレームワークの詳細は、『Oracle® Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタ・フレームワークの概要に関する項を参照してください。
Oracle Privileged Account Managerには、オラクル社が開発した次のICF準拠のコネクタが付属しています。
Database User Management (DBUM)コネクタ
汎用LDAPコネクタ
UNIX用のOracle Identity Managerコネクタ
これらのコネクタによって、Oracle Privileged Account Managerは、前述のタイプに属する様々なターゲット・システム上で特権アカウントを管理できます。
Oracle Privileged Account Managerでは、ユーザーが作成したICF準拠のコネクタも使用できるため、Oracle Privileged Account Managerを使用して独自のシステムを管理する場合に役立ちます。
アイデンティティ・コネクタ・フレームワークの詳細は、『Oracle® Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタの開発に関する項を参照してください。
ICFコネクタは汎用で、多くのコンテキストで使用できるため、所定のOracleインストール環境においてすべてのコネクタ・バンドルがファイル・システムの単一の場所に配置されます。これらのコネクタ・バンドルに依存するOracle Privileged Account Managerなどのすべてのコンポーネントは、次の場所からそれらにアクセスできます。
ORACLE_HOME/connectors
Oracle Privileged Account Managerに付属するコネクタ・バンドルは次のとおりです。
Oracle Privileged Account Managerは、opam-config.xml
ファイルを使用することでICFコネクタを使用します。このファイルの内容によって、Oracle Privileged Account Managerに次の情報が提供されます。
ファイル・システムでICFコネクタ・バンドルを選択する場所
Oracle Privileged Account Managerの使用事例にとって適切な構成属性
特定のコネクタを使用したターゲット・システムへの接続を構成する際に、Oracle Privileged Account Managerコンソールをレンダリングする方法
opam-config.xml
ファイルは、ORACLE_HOME
/opam/config
ディレクトリにあります。ドメインの作成中に、opam-config.xml
ファイルはDOMAIN_HOME
/config/fmwconfig
ディレクトリにコピーされ、そのドメインで使用できるようになります。Oracle Identity Management Suiteに付属するコネクタ・バンドルを選択して使用するために、すぐに使用できるイメージが構成されています。
opam-config.xsd
ファイル(これもORACLE_HOME
/opam/config
ディレクトリに存在)によって、opam-config.xml
のスキーマが記述されています。DOMAIN_HOME
/config/fmwconfig/opam-config.xml
を変更した場合、opam-config.xsd
ファイルで検証する必要があります。
この項では、既存のOracle Privileged Account Managerインストール環境に新しいコネクタを追加するためのプロセスについて説明します。内容は次のとおりです。
オラクル社提供による新しいICFコネクタを追加する場合、それらにはインストール手順が付随しています。これらの手順には、コネクタ・バンドルの格納場所や、インストール固有のopam-config.xml
ファイルの変更方法が説明されています。
Oracle Privileged Account Managerでは、ユーザーが作成した(またはサードパーティによって作成された)カスタム・コネクタを使用できます。ただし、これらのコネクタは、ICF標準に厳密に準拠している必要があります。コネクタがICFに準拠していることを確認した後、次の手順を実行してOracle Privileged Account Managerで使用するためにコネクタをデプロイします。
コネクタ・バンドルを、実行時にOracle Privileged Account Managerで読み取ることができるファイル・システム上の場所に配置します。
次の手順を実行して、コネクタの新しい構成ブロックを作成し、そのブロックをインストール固有のopam-config.xml
ファイルに含めます。
関連する構成ブロックを設計および作成します。
opam-config.xml
ファイルとopam-config.xsd
ファイルには、両方ともファイルの先頭に新しい構成ブロックの作成方法を説明したドキュメントおよび例が含まれます。
このコネクタ構成ブロックに、手順1でコネクタ・バンドル用に指定したファイル・システムの場所が含まれていることを確認します。
新しいコネクタ構成ブロックを<connectorConfig>
ブロックに含めることでopam-config.xml
ファイルに追加します。
変更されたopam-config.xml
ファイルをopam-config.xsd
ファイルに対して検証し、Oracle Privileged Account Managerサーバーでその変更されたファイルを読み取ることができることを確認します。任意のXMLスキーマ検証ツールをこの目的で使用できます。
Oracle Privileged Account Managerサーバーを再起動します。
Oracle Privileged Account Managerに接続し、新しく追加したコネクタ・タイプを使用して新しいターゲット・システムを追加および構成します。
この項では、Oracle Privileged Account Managerのコンソールを起動および操作するための概要情報について説明します。内容は次のとおりです。
注意: 詳細は、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドを参照してください。 |
Oracle Privileged Account Managerを起動する前に、WebLogicサーバーおよびコンソールを起動する必要があります。
注意:
|
nmConnect
コマンドを実行してノード・マネージャをWLSTに接続します。
手順については、Oracle Fusion Middleware WebLogic Scripting Toolのコマンド・リファレンスのノード・マネージャのコマンドに関する項を参照してください。
WebLogic管理サーバーを起動します。次に例を示します。
UNIXでは次のように入力します。
MIDDLEWARE_HOME/user_projects/domains/DOMAIN_NAME/bin/startWebLogic.sh
Windowsでは次のように入力します。
MIDDLEWARE_HOME\user_projects\domains\DOMAIN_NAME\bin\startWebLogic.bat
Oracle Privileged Account Managerサーバーを起動します。
ブラウザを開き、次の場所からWebLogicコンソールを起動します。
http://adminserver_host:adminserver_port/console
Oracle Privileged Account Managerでは、Secure Socket Layer (SSL)または非SSLオプションを介してターゲット・システムに接続できます。SSLオプションは、より安全ですが、追加の構成が必要です。
SSLを介してターゲット・システムと安全に通信するには、Oracle Privileged Account Managerを実行しているWebLogicインスタンスが、ターゲット・システムで使用されているSSL証明書を信頼する必要があります(Oracle Privileged Account Managerは実行されているWebLogicコンテナからそのSSL構成を継承するため)。Oracle Privileged Account Managerを実行しているWebLogicインスタンス(およびOracle Privileged Account Manager)にターゲット・システムのSSL証明書を信頼させるには、WebLogicインスタンスで使用されているトラストストアに証明書をインポートする必要があります。
ターゲット・システムとOracle Privileged Account Manager間のSSL通信を有効にするには、次の手順を使用します。
ターゲット・システムのホスト・コンピュータからSSL証明書をエクスポートします。
注意: SSL証明書をエクスポートする手順は、ターゲット・システムのタイプごとに異なります。手順の詳細は、使用しているターゲット・システムの製品ドキュメントを参照してください。 |
Oracle Privileged Account Managerを実行しているWebLogicインスタンスが存在するマシンに証明書をコピーします。
Oracle Privileged Account Manager/Oracle Identity NavigatorコンソールとOracle Privileged Account Managerサーバーが異なるマシン上で実行されている場合、SSL証明書はOracle Privileged Account Managerサーバーのマシンにコピーする必要があります。
次のコマンドを実行して、Oracle Privileged Account Managerが実行されているWebLogicサーバーのJVMトラストストアに証明書をインポートします。
JAVA_HOME\bin\keytool -import -file FILE_LOCATION -keystore TRUSTSTORE_LOCATION -storepass TRUSTSTORE_PASSWORD -trustcacerts -alias ALIAS
説明
JAVA_HOMEは、WebLogicサーバーによって使用される場所です。次に例を示します。
MIDDLEWARE_HOME
/jrockit..
MIDDLEWARE_HOME
/jdk..
Javaソフトウェアをインストールした場所
FILE_LOCATIONは、証明書ファイルのフルパスおよび名前です。
TRUSTSTORE_LOCATIONは、次のトラストストア・パスのいずれかです。
TRUSTSTORE_PASSWORDは、トラストストアのパスワードです。
ALIASは、証明書の別名です。
注意:
|
WebLogicサーバーを再起動します。
注意: WebLogicのセキュリティ概念およびカスタム・キーストアの作成方法の詳細は、『Oracle® Fusion Middleware Oracle WebLogic Serverの保護』のIDおよび信頼の構成に関する項を参照してください。 |
インストール後は、どのユーザーにも管理者ロールは付与されていません。ユーザーを選択し、Oracle Identity Navigatorを使用してそのユーザーにアプリケーション構成者ロールを付与する必要があります。
注意: 手順については、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドの共通管理者ロールの割当てに関する項を参照してください。 アプリケーション構成者ユーザーは、このロールに加えて別のロールも持つことができます。他の管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」を参照してください。 |
アプリケーション構成者ユーザーが次のURLを使用してログインすると、OPAMの構成リンクが含まれた空の画面が表示されます。
http://adminserver_host:adminserver_port/oinav/opam
アプリケーション構成者ユーザーは、このリンクを使用して、Oracle Privileged Account Managerサーバーのホストとポートを指定することで、Oracle Privileged Account Managerサーバーが実行されている場所をOracle Privileged Account Managerコンソールに認識させることができます。
Oracle Privileged Account ManagerコンソールがOracle Privileged Account Managerサーバーとの通信に成功すると、Oracle Privileged Account Managerコンソールにコンテンツが移入されます。
注意: Oracle Privileged Account Manager管理者およびユーザーは、Oracle Privileged Account Managerの初期設定中を除き、通常はOracle Identity Navigatorインタフェースを使用する必要はありません。 |
Oracle Privileged Account Managerのコンソールにアクセスするには、ブラウザ・ウィンドウを開いて次のURLを入力します。
http://adminserver_host:adminserver_port/oinav/opam
「サイン・イン」画面のあるOracle Privileged Account Managerページが表示されたら、管理者またはエンド・ユーザーの適切な資格証明を使用してログインします。
注意: Oracle Privileged Account Managerのコマンドライン・ツールまたはOracle Privileged Account ManagerのRESTfulインタフェースを使用する場合、それらのインタフェースの詳細は、それぞれ付録A「コマンドライン・ツールの使用」または付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 |
この項では、Oracle Privileged Account Managerコンソールの概要について説明します。
注意: コンソールの一部の機能へのアクセスは、ユーザーの管理ロールおよび資格証明に基づきます。たとえば、この項で説明する「レポート」および「管理」アコーディオンは、セキュリティ管理者ロールを持つユーザーは使用できません。 管理ロールの詳細は、第2.3項「Oracle Privileged Account Managerの認可について」を参照してください。 |
この項の内容は次のとおりです。
ヒント: Oracle Privileged Account Managerインタフェースの要素(「ホーム」アコーディオンのノードやパラメータ・フィールドなど)の上にカーソルを重ねると、役に立つプロンプトが表示されます。 |
Oracle Privileged Account Managerにログインすると、デフォルトで「ホーム」アコーディオンが開いた状態で表示されます。この領域では、ユーザーの管理ロールと資格証明に基づいて、次のノードの一部または全部を含むツリーにアクセスできます。
アカウント: アカウントの検索、オープン、追加および削除
ターゲット: ターゲットの検索、オープン、追加および削除
ポリシー: パスワード・ポリシーと使用ポリシーの検索、オープン、作成および削除
権限受領者: 権限受領者(ユーザーとグループ)の検索、オープン、追加および削除
マイ・チェックアウト済アカウント: アカウントの表示、チェックアウトおよびチェックイン
これらのノードを展開して、ターゲット・タイプ、ドメイン、パスワード・ポリシーと使用ポリシー、およびユーザーとグループの権限受領者を表示できます。
![]() |
たとえば、この図で、ldapノードはターゲット・タイプで、usはドメインです。そのため、アカウントを検索してそれがusドメインのLDAPターゲットによって管理されていることを確認する場合、usノードをクリックすると、そのドメインのアカウントのリストが表示されます。結果が「検索結果」表に表示されます。 |
このアコーディオンのノードまたはサブノードを選択すると、新しいページが表示されます。それらのページのパラメータを使用して、Oracle Privileged Account Managerを構成および管理します。
「ホーム」アコーディオンの上に、「ホーム」アコーディオンの表示方法を制御するために使用できる2つのメニューがあります。
表示: このドロップダウン・メニューのオプションを使用して、すべてのノードを同時に展開または縮小すること、選択したノードの下にあるすべてのサブノードを展開または折りたたむこと、あるいは最初または最後のノードまでスクロールすることができます。
パースペクティブ: このドロップダウン・メニューを使用して、ターゲット・タイプまたはドメインのどちらの視点から情報を表示するかを制御できます。
「レポート」アコーディオンを開いて「レポート」リンクのいずれかをクリックすると、現在のデプロイメントのターゲットおよび特権アカウントに関する異なるレポートにアクセスできます。情報は、コンソールの右側にある「レポート」ページに表示されます。
「管理」アコーディオンを開いて「サーバー構成」をクリックすると、「サーバー構成」タブが表示されます。「サーバー構成」タブを使用して、Oracle Privileged Account Managerサーバーへの接続を設定およびテストします。
注意: Oracle Privileged Account Managerサーバーの管理の詳細は、第4.4項「Oracle Privileged Account Managerサーバーの管理」を参照してください。 |
Oracle Privileged Account Managerの検索ポートレットを使用して、ターゲット、アカウント、ポリシー、ユーザーおよびグループを検索します。
検索を構成するには、検索ポートレットに表示されている1つ以上のパラメータを使用します。使用可能なパラメータは、検索のタイプに応じて異なります。次の表では、異なる検索パラメータについて説明します。
表3-4 検索ポートレットのパラメータ
パラメータ名 | 説明 | 検索タイプ |
---|---|---|
アカウント名 |
検索するアカウント名の1つ以上の文字を入力します。 |
アカウント、ユーザー、グループ |
ターゲット名 |
検索するターゲット名の1つ以上の文字を指定します。 |
アカウント、ターゲット、ユーザー、グループ |
ターゲット・タイプ |
「すべて」(すべてのターゲット・タイプを検索する場合)、「ldap」、「unix」または「database」を指定します。 |
アカウント、ターゲット |
ドメイン |
検索するドメインを指定します。 |
アカウント、ターゲット |
ホスト名 |
検索するホストの名前を指定します。 |
ターゲット |
ポリシー名 |
検索するポリシー名の1つ以上の文字を指定します。 |
ポリシー |
ポリシー・ステータス |
すべてのポリシーを検索するか、検索をアクティブなポリシーのみまたは無効なポリシーのみに制限するかを指定します。 |
ポリシー |
ポリシー・タイプ |
すべてのポリシー・タイプを検索するか、検索をパスワード・ポリシーのみまたは使用ポリシーのみに制限するかを指定します。 |
ポリシー |
ユーザー名 |
検索するユーザー名の1つ以上の文字を指定します。 |
ユーザー |
名 |
ユーザーの名の1つ以上の文字を指定します。 |
ユーザー |
姓 |
ユーザーの姓の1つ以上の文字を指定します。 |
ユーザー |
グループ名 |
検索するグループ名の1つ以上の文字を指定します。 |
グループ |
説明 |
グループの説明を指定します。 |
グループ |
検索を実行する一般的な手順は次のとおりです。
「ホーム」ツリーで適切なノードを選択します。
たとえば、アカウントを検索するには、「アカウント」ノードを選択します。
検索ポートレットで使用できる1つ以上の検索パラメータを入力して、「検索」をクリックします。
たとえば、特定のLDAPターゲットに存在するすべてのアカウントのリストを検索するには、ターゲット名の1つ以上の文字を入力し、「ターゲット・タイプ」メニューから「LDAP」を選択して、「検索」をクリックします。
結果は検索結果表に表示されます。
別の検索を実行するには、「リセット」をクリックします。
異なる検索結果表の上部に配置されているドロップダウン・メニューとアイコンを使用して、様々なタスクを実行できます。
次の表では、これらの機能について説明します。
表3-5 検索結果表の機能
機能名 | 検索タイプ | 説明 |
---|---|---|
アクション |
アカウント、ターゲット、ポリシー、ユーザー、グループ、マイ・チェックアウト済アカウント |
ドロップダウン・メニューからアクションを選択します。 注意: 「アクション」メニュー・オプションは、表の上部に表示されているタスク・アイコンと同じです。 |
表示 |
アカウント、ターゲット、ポリシー、ユーザー、グループ、マイ・チェックアウト済アカウント |
このドロップダウン・メニューを使用して、検索結果表での列の表示方法を制御します。
|
ステータス |
アカウントのみ |
メニューから次のいずれかのオプションを選択して、検索結果の表示方法を制御します。
|
追加 |
アカウント、ターゲット、ユーザー、グループ |
クリックすると、新しいターゲット、アカウント、ユーザーまたはグループをOracle Privileged Account Managerリポジトリに追加できます。 |
開く |
アカウント、ターゲット、ポリシー、ユーザー、グループ |
クリックすると、選択したアカウント、ターゲット、ポリシー、ユーザーまたはグループを開くことができます。 |
削除 |
アカウント、ターゲット、ポリシー、ユーザー、グループ |
クリックすると、選択したアカウント、ターゲット、ポリシー、ユーザーまたはグループをOracle Privileged Account Managerリポジトリから削除できます。 |
パスワードの表示 |
アカウントのみ |
クリックすると、アカウント名とそのアカウントのパスワードをリストしたポップアップ・メッセージが表示されます。 |
パスワードのリセット |
アカウントのみ |
クリックすると、選択したアカウントの新しいパスワードを入力できる「パスワードのリセット」ダイアログが表示されます。 |
パスワード・ポリシーの作成 |
ポリシーのみ |
クリックすると、新しいパスワード・ポリシーを作成できます。詳細は、第5.1.2.2項「Oracle Privileged Account Managerへのターゲットの追加」を参照してください。 |
使用ポリシーの作成 |
ポリシーのみ |
クリックすると、新しい使用ポリシーを作成できます。詳細は、第5.1.2.2項「Oracle Privileged Account Managerへのターゲットの追加」を参照してください。 |
削除 |
ポリシーのみ |
クリックすると、選択したポリシーをOracle Privileged Account Managerリポジトリから削除できます。 |
チェックイン |
マイ・チェックアウト済アカウント |
クリックすると、選択したチェックアウト済アカウントをチェックインできます。詳細は、第5.1.3.7項「アカウントのチェックイン」を参照してください。 |