Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-01 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Privileged Account Managerを構成および管理する方法について説明します。この章の内容は次のとおりです。
注意: この章で説明するタスクの多くは、Oracle Privileged Account Managerのコマンドライン・ツールまたはOracle Privileged Account ManagerのRESTfulインタフェースを使用しても実行できます。 Oracle Privileged Account Managerコンソールのかわりにこれらのインタフェースを使用する場合の手順は、付録A「コマンドライン・ツールの使用」または付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 |
この項では、Oracle Privileged Account Managerを構成および管理する必要のある管理者の手順について説明します。
内容は次のとおりです。
この項で説明する様々な構成タスクを実行するには、特定の管理ロールを持つOracle Privileged Account Manager管理者である必要があります。
次のリストでは、異なる管理ロールに基づいてOracle Privileged Account Manager管理者ユーザーが実行できる基本ワークフローについて説明します。
注意: 「アプリケーション構成者」管理ロールを持つ管理者は、通常、すでにOracle Privileged Account Managerサーバーへの接続を構成済です。詳細は、第4.4.1項「Oracle Privileged Account Managerサーバーへの接続の構成」を参照してください。 |
表5-1 管理ロールに基づく管理者ワークフロー
管理者 | 職責 |
---|---|
セキュリティ管理者 |
|
ユーザー・マネージャ |
|
セキュリティ監査者 |
Oracle Privileged Account Managerレポートを確認します。 |
この項では、Oracle Privileged Account Managerの使用ポリシーおよびパスワード・ポリシーを使用するための情報を提供します。
内容は次のとおりです。
Oracle Privileged Account Managerには、次の2つのタイプのポリシーがあります。
パスワード・ポリシー: このポリシー・タイプは、関連する特権アカウントに対して特定のターゲットによって実施されるパスワード構成ルールを取得します。たとえば、数字の最小数と最大数です。パスワード・ポリシーを使用して、Oracle Privileged Account Managerが特権アカウントのパスワードをリセットするために使用するパスワード値を作成します。
使用ポリシー: このポリシー・タイプは、権限受領者が特権アカウントを使用できる時期と方法を定義します。(デフォルト・アクセスは24x7です。)
Oracle Privileged Account Managerによって管理されるすべての特権アカウントは、関連付けられたパスワード・ポリシーを持っている必要があります。使用ポリシーは、権限付与のレベルでのみ適用されます。単一のパスワード・ポリシーを複数の特権アカウントに、単一の使用ポリシーを複数の権限付与に関連付けることができます。
Oracle Privileged Account Managerでは、デフォルト・パスワード・ポリシーおよびデフォルト使用ポリシーが提供されています。デフォルト・ポリシーを使用するか、これらのポリシーを変更するか、または独自の特化したポリシーを作成することができます。
これらのポリシーのパラメータ設定を確認するには、第5.1.1.2項「ポリシーの表示」を参照してください。
注意: ポリシーを操作できるのは、セキュリティ管理者管理ロールまたは「ユーザー・マネージャ」管理ロールを持つ管理者のみです。
|
パスワード・ポリシーまたは使用ポリシーのパラメータ設定を確認するには、次の手順を実行します。
「ホーム」ツリーから「パスワード・ポリシー」または「使用ポリシー」を選択します。
「ポリシー」ページが表示されたら、次のいずれかの方法を使用してポリシーを開きます。
ポリシー名の横にある行番号をクリックしてから、検索結果表の上にある「開く」アイコンをクリックします。
検索結果表のポリシー名(アクティブ・リンク)をクリックします。
たとえば、デフォルト・パスワード・ポリシー・リンクをクリックすると、「パスワード・ポリシー: デフォルト・パスワード・ポリシー」ページが表示されます。
「パスワード・ポリシー」ページには、次の3つのタブが含まれます。
一般: ポリシーとそのポリシーのパスワード・ライフサイクル・ルールに関する一般情報を指定するためのパラメータが含まれます。
パスワードの複雑性ルール: アカウント・パスワードの複雑性要件を制御するパラメータが含まれます。
特権アカウント: デフォルト・パスワード・ポリシーを現在使用している特権アカウントの情報を提供します。
「使用ポリシー」ページには、次の3つのタブが含まれます。
一般フィールド: ポリシーに関する一般情報を指定するためのパラメータが含まれます。
使用ルール: アカウントをチェックアウトできる時期およびチェックアウトの有効期限を制御するパラメータが含まれます。
権限受領者: 特定のアカウントを使用する権限が付与されている権限受領者の情報を提供します。
デフォルト・パスワード・ポリシーを評価した後に、現在の環境に合うように設定を変更することができます。
デフォルト・パスワード・ポリシーを変更するには、次の手順を実行します。
「ホーム」ツリーから「パスワード・ポリシー」を選択します。
「ポリシー」ページが表示されたら、検索結果表のデフォルト・パスワード・ポリシー・リンクを選択して「パスワード・ポリシー: デフォルト・パスワード・ポリシー」ページを開きます。
「一般」タブを選択して「一般フィールド」領域の「ポリシーの説明」フィールドを編集するか、次のパスワード・ライフサイクル・ルールのいずれかを変更します。
パスワード最大期間: 2つのメニューを使用して、Oracle Privileged Account Managerでアカウント・パスワードを自動的にリセットするまでの期間(日数、時間数または分数)を指定します。
たとえば、アカウント・パスワードを毎月変更する必要のあるセキュリティ・ポリシーを企業で実施する場合には、この値を30日に設定します。
アカウントがチェックアウトされ、そのパスワードが変更されるたびに(チェックアウトおよびチェックイン時にそのパスワードを変更するようにポリシーが構成されている場合)、Oracle Privileged Account Managerでは、パスワード変更時間が追跡されます。
注意: セキュリティ管理者管理ロールを持つ管理者は、「パスワードのリセット」オプション(第5.1.3.5.2項「アカウント・パスワードのリセット」を参照)を使用してパスワードを手動でリセットすることもできますが、Oracle Privileged Account Managerではこのパスワード変更時間も追跡されます。 |
Oracle Privileged Account Managerによってアカウントが使用されていないことが検出され、パスワード変更も指定した日数を超えて発生していない場合、そのパスワードはランダム化された新規の値に自動的にリセットされるため、企業ではユーザー操作なしでセキュリティ・ポリシーを自動的に実施できます。
この自動リセット・オプションを無効にするには、数値を0に設定します。
チェックイン時にパスワードをリセット: このオプションを使用して、チェックイン操作時にOracle Privileged Account Managerでランダム化されたパスワードを自動生成して設定するかどうかを指定します。
チェックイン操作時にパスワードをリセットしない場合は、このボックスの選択を解除します。
チェックアウト時にパスワードをリセット: このオプションを使用して、チェックアウト操作時にOracle Privileged Account Managerでランダム化されたパスワードを自動生成して設定するかどうかを指定します。
チェックアウト操作時にパスワードをリセットしない場合は、このボックスの選択を解除します。
注意:
|
「パスワードの複雑性ルール」タブを選択して、デフォルト・パスワード要件を定義する1つ以上のパラメータを変更します。
パラメータ | 説明 |
---|---|
パスワードの文字 |
必要な文字の最小数と最大数を指定します。 |
英字 |
必要なアルファベット文字の最小数を指定します。 |
数字 |
必要な数字の最小数を指定します。 |
英数字 |
必要な英数字の最小数を指定します。 |
特殊文字 |
必要な特殊文字( |
繰返し文字 |
許可する繰返し文字の最小数と最大数を指定します。 |
一意文字 |
必要な一意文字の最小数を指定します。 |
大文字 |
必要な大文字の最小数を指定します。 |
小文字 |
必要な小文字の最小数を指定します。 |
開始文字(数字以外) |
パスワードを開始するために必要な最初の文字を指定します。 |
必須文字 |
パスワードに必要な文字を指定します。 |
許可された文字 |
パスワードで許可する文字を指定します。 |
許可されていない文字 |
パスワードで許可しない文字を指定します。 |
パスワードとして許可されていない |
「アカウント名」ボックスを有効に(選択)してパスワードでアカウント名の使用を禁止します。 |
「特権アカウント」タブを選択して、デフォルト・パスワード・ポリシーを現在使用しているアカウントを確認します。
注意: 表にリストされている任意のアカウントに異なるパスワード・ポリシーを指定するには、「アカウント名」のリンクをクリックします。「アカウント」ページが表示されたら、「パスワード・ポリシー」メニューから異なるポリシー名を選択します。 |
ポリシーの編集を終了したら、「適用」をクリックして変更内容を保存します。
デフォルト使用ポリシーを変更するには、次の手順を実行します。
「ホーム」ツリーから「使用ポリシー」を選択します。
「ポリシー」タブが表示されたら、検索結果表のデフォルト使用ポリシー・リンクを選択して、3つのタブを含む「使用ポリシー: デフォルト・パスワード・ポリシー」ページを開きます。
「一般フィールド」タブでは、「説明」フィールドの内容のみを変更できます。
「使用ルール」タブを選択して、次の1つ以上のパラメータ設定を変更します。
パラメータ | 説明 |
---|---|
タイムゾーン |
メニューから異なるタイムゾーンを選択します。 |
使用許可日 |
チェック・ボックスとドロップ・メニューを使用して、権限受領者にアカウントの使用を許可する時期を変更します。権限受領者がこのアカウントにアクセスできる1つ以上の曜日や時間帯を選択します。(デフォルト・アクセスは24x7です。) |
有効期限日 |
次のオプションのいずれかを有効にして、権限受領者によるアカウントへのアクセス権の有効期限を変更します。
|
注意: 共有特権アカウントの使用ポリシーを構成する場合、アカウントがチェックインされ、パスワードが適切な時期に反復されることを保証するため、自動チェックイン・オプションのいずれかを構成することをお薦めします。 また、共有アカウントにアクセスできるユーザーの数を制限し、アカウントにアクセスできる時期を指定してそれらのユーザーをさらに絞り込むことを検討してください。各ユーザーがアカウントにアクセスできる曜日や時間帯を指定することで、チェックアウトの重複を最小限に抑え、Oracle Privileged Account Managerの監査機能を向上します。 共有アカウントの詳細は、第2.4.2項「共有アカウントの保護」を参照してください。 |
「権限受領者」タブを選択して、このポリシーが割り当てられている権限受領者を表示します。
注意: 表にリストされている任意の権限受領者に異なる使用ポリシーを指定するには、「アカウント名」のリンクをクリックします。「アカウント」ページが表示されたら、「使用ポリシー」メニューから異なるポリシー名を選択します。 |
ヒント: 「権限受領者名」または「アカウント名」列のアクティブ・リンクをクリックすると、追加情報を含む他の画面にナビゲートできます。 |
ポリシーの編集を終了したら、「適用」をクリックして変更内容を保存します。
新規パスワード・ポリシーを作成するには、次の手順を実行します。
「ホーム」ツリーから「パスワード・ポリシー」ノードを選択します。
「ポリシー」タブが表示されたら、検索結果表の上部にある「パスワード・ポリシーの作成」をクリックします。
3つのタブを含む新しい「パスワード・ポリシー: 無題」ページが表示されます。
次の情報を「一般」タブで入力します。
ポリシー名: 新規ポリシーの名前を入力します。
ポリシー・ステータス: ボタンをクリックしてポリシーが「アクティブ」であるか「無効」であるかを指定します。
ポリシーを無効にすると、その無効化されたポリシーに関連付けられたすべてのアカウントおよび権限付与にデフォルト・パスワード・ポリシーが適用されます。これらのアカウントおよび権限付与に単に異なるポリシーを割り当てると、古いポリシー割当てに関する情報はすべて失われます。
ポリシーをアクティブにすると、関連付けられたアカウントおよび権限付与に対してそのポリシーが有効になります。
パスワード・ライフサイクル・ルールを構成し、一定の状況下でOracle Privileged Account Managerがランダム化されたアカウント・パスワードを自動生成して設定できるようにします(手順3を参照)。
「パスワードの複雑性ルール」タブのパラメータを使用して、パスワードの複雑性ルールの要件を定義します。これらのパラメータ設定の詳細は、手順4の表を参照してください。
第5.1.1.8項「ポリシーの割当て」の手順を使用してアカウントまたは権限受領者にポリシーを割り当てます。
このポリシーを割り当てた後、「特権アカウント」タブを選択すると、このポリシーを使用しているアカウントを確認できます。
「保存」をクリックします。
新規使用ポリシーを作成するには、次の手順を実行します。
「ホーム」ツリーから「使用ポリシー」ノードを選択します。
「ポリシー」タブが表示されたら、検索結果表の上部にある「使用ポリシーの作成」をクリックします。
3つのタブを含む新しい「使用ポリシー: 無題」ページが表示されます。
次の情報を「一般」タブで入力します。
「使用ルール」タブを選択します。このページのオプションを使用して、特権アカウントを使用するためのルールを定義します。これらのパラメータ設定の詳細は、手順4の表を参照してください。
第5.1.1.8項「ポリシーの割当て」の手順を使用してアカウントまたは権限受領者にポリシーを割り当てます。
このポリシーを割り当てた後、「権限受領者」タブを選択すると、このポリシーを使用しているユーザーまたはグループを確認できます。
「保存」をクリックします。
「ホーム」ツリーで次の操作を実行します。
「ポリシー」を選択して、すべてのポリシーを検索します。
「パスワード・ポリシー」ノードまたは「使用ポリシー」ノードを選択して、選択したポリシー・タイプのポリシーを検索します。
「ポリシーの検索」ポートレットが表示されたら、次の1つ以上のフィールドに検索基準を入力します。
ポリシー名: ポリシー名の全部または一部を入力します。
ポリシー・ステータス: すべてのポリシーを検索するには「すべて」を選択します。アクティブまたは非アクティブなポリシーのみに検索を制限するには、「アクティブ」または「非アクティブ」を選択します。
ポリシー・タイプ: 「すべて」を選択してすべてのポリシーを検索するか、「パスワード・ポリシー」または「使用ポリシー」を指定して、選択したポリシー・タイプのみに検索を制限します。
注意: 手順1で「パスワード・ポリシー」または「使用ポリシー」を選択すると、そのポリシー・タイプが自動的に「ポリシー・タイプ」フィールドに入力されます。 |
「検索」をクリックします。
検索結果表で検索結果を確認します。
前述のとおり、新しい特権アカウントを追加すると、そのアカウントにデフォルト・パスワード・ポリシーおよびデフォルト使用ポリシーが自動的に割り当てられます。
別のパスワード・ポリシーまたは使用ポリシーを割り当てるには、最初に第5.1.1.5項「新規パスワード・ポリシーの作成」または第5.1.1.6項「新規使用ポリシーの作成」の説明に従ってポリシーを作成する必要があります。
注意:
|
アカウントへのパスワード・ポリシーの割当ては、「アカウント」ページ、「ターゲット」ページまたは「ポリシー」ページから行うことができます。
「アカウント」ページでは次の操作を実行します。
「アカウント」ページからパスワード・ポリシーを割り当てるには、次の手順を実行します。
次のいずれかの方法を使用してアカウントを特定します。
「ホーム」ツリーで「アカウント」ノードを選択し、次に「アカウントの検索」ポートレットを使用してアカウントを検索します。手順については、第5.1.3.3項「特権アカウントの検索」を参照してください。
「ホーム」ツリーでアカウントの「ターゲット・タイプ」ノードまたは「ドメイン」ノードを選択します。
たとえば、アカウントがLDAPターゲットに割り当てられていることがわかっている場合、ldapノードを選択します。
検索結果が表示されたら、表にあるアカウントの「アカウント名」のリンクをクリックし、「アカウント: AccountName」ページを開きます。
「一般」タブで、「パスワード・ポリシー」メニューから異なるポリシー名を選択します。
新しいポリシーを選択した後、「テスト」をクリックし、アカウントをOracle Privileged Account Managerで管理できることを確認します。通常は、テストの成功を示す「テストに成功しました」というダイアログが表示されます。
「適用」をクリックして、選択したアカウントへのポリシーの割当てを終了します。
「ターゲット」ページでは次の操作を実行します。
「ターゲット」ページからパスワード・ポリシーを割り当てるには、次の手順を実行します。
次のいずれかの方法を使用してアカウントを特定します。
「ホーム」ツリーで「ターゲット」ノードを選択し、次に「ターゲットの検索」ポートレットを使用してアカウント・ターゲットを検索します。手順については、第5.1.2.3項「ターゲットの検索」を参照してください。
「ホーム」ツリーでアカウントの「ターゲット・タイプ」ノードまたは「ドメイン」ノードを選択します。
たとえば、アカウントがUNIXターゲットに割り当てられていることがわかっている場合、unixノードを選択します。
検索結果表にあるアカウントの「ターゲット名」のリンクをクリックし、「ターゲット: TargetName」ページを開きます。
「特権アカウント」タブをクリックし、ターゲットで現在管理されているアカウントのリストを表示します。
表に、各アカウントに現在割り当てられているパスワード・ポリシーがリストされます。
アカウントを特定して「アカウント名」のリンクをクリックします。
「一般」タブが表示されたら、「パスワード・ポリシー」メニューから異なるポリシー名を選択します。
新しいポリシーを選択した後、「テスト」をクリックし、アカウントをOracle Privileged Account Managerで管理できることを確認します。通常は、テストの成功を示す「テストに成功しました」というダイアログが表示されます。
「適用」をクリックして、選択したアカウントへのポリシーの割当てを終了します。
「ポリシー」ページでは次の操作を実行します。
「ポリシー」ページからパスワード・ポリシーを割り当てるには、次の手順を実行します。
「ホーム」ツリーで「パスワード・ポリシー」ノードを選択します。
割り当てるポリシーを検索結果表で特定します。「ポリシー名」のリンクをクリックし、「パスワード・ポリシー: PolicyName」ページを開きます。
「特権アカウント」タブを選択します。
アカウントを特定し、「アカウント名」のリンクをクリックして「アカウント: AccountName」ページを開きます。
「一般」タブが表示されたら、「パスワード・ポリシー」メニューから異なるポリシー名を選択します。
新しいポリシーを選択した後、「テスト」をクリックし、アカウントをOracle Privileged Account Managerで管理できることを確認します。通常は、テストの成功を示す「テストに成功しました」というダイアログが表示されます。
「適用」をクリックして、選択したアカウントへのポリシーの割当てを終了します。
第5.1.4.2項「ユーザーへのアカウントの付与」または第5.1.4.3項「グループへのアカウントの付与」の説明に従ってアカウントに権限受領者を追加すると、Oracle Privileged Account Managerによって「権限付与」タブの「ユーザー」または「グループ」表にユーザー名またはグループ名が追加され、デフォルト使用ポリシーが自動的に割り当てられます。
「アカウント」ページまたは「使用ポリシー」ページから異なる使用ポリシーを割り当てることができます。
注意: アカウントの新しい使用ポリシーを作成しても、新しいポリシーはそのアカウントの既存の権限受領者に自動的に割り当てられません。Oracle Privileged Account Managerでは、個々の権限受領者にカスタマイズされたポリシーを割り当てることができるため、新しいポリシーでこれらの他のポリシー割当てを上書きすることは好ましくありません。 ただし、アカウントの新しいポリシーを作成してから新しい権限受領者を追加する場合、これらの(および将来の)権限受領者は、そのポリシーに自動的に関連付けられます(それがアカウントの新しいデフォルト使用ポリシーになっているため)。 |
「アカウント」ページでは次の操作を実行します。
「アカウント」ページから使用ポリシーを割り当てるには、次の手順を実行します。
次のいずれかの方法を使用してアカウントを特定します。
「ホーム」ツリーで「アカウント」ノードを選択し、次に「アカウントの検索」ポートレットを使用してアカウントを検索します。手順については、第5.1.3.3項「特権アカウントの検索」を参照してください。
「ホーム」ツリーでアカウントの「ターゲット・タイプ」ノードまたは「ドメイン」ノードを選択します。
たとえば、アカウントがLDAPターゲットに割り当てられていることがわかっている場合、ldapノードを選択します。
アカウントの「アカウント名」のリンクを特定して「アカウント: AccountName」ページを開きます。
「権限付与」タブを選択します。
「ユーザー」または「グループ」表で権限受領者を特定し、その行の「使用ポリシー」メニューを使用して異なるポリシーを選択します。
「適用」をクリックして変更を追加します。
「ターゲット」ページでは次の操作を実行します。
「ターゲット」ページから使用ポリシーを割り当てるには、次の手順を実行します。
次のいずれかの方法を使用してアカウントを特定します。
「ホーム」ツリーで「ターゲット」ノードを選択し、次に「ターゲットの検索」ポートレットを使用してアカウント・ターゲットを検索します。手順については、第5.1.2.3項「ターゲットの検索」を参照してください。
「ホーム」ツリーでアカウントの「ターゲット・タイプ」ノードまたは「ドメイン」ノードを選択します。
たとえば、アカウントがUNIXターゲットに割り当てられていることがわかっている場合、unixノードを選択します。
検索結果表にあるアカウントのターゲット名をクリックし、そのターゲットを開きます。
「ターゲット: TargetName」ページが表示されたら、「権限付与」タブをクリックし、そのアカウントへのアクセス権を現在付与されている権限受領者のリストを表示します。
表に、各権限受領者に現在割り当てられている使用ポリシーがリストされます。
「ユーザー」または「グループ」表で権限受領者を特定し、その行の「使用ポリシー」メニューを使用して異なるポリシーを選択します。
「適用」をクリックして、選択したアカウントへのポリシーの割当てを終了します。
「ポリシー」ページでは次の操作を実行します。
「ポリシー」ページから使用ポリシーを割り当てるには、次の手順を実行します。
「ホーム」ツリーで「使用ポリシー」ノードを選択します。
検索結果が表示されたら、割り当てるポリシーを検索結果表で特定します。「ポリシー名」のリンクをクリックし、「使用ポリシー: PolicyName」ページを開きます。
「権限受領者」タブを選択します。
「権限受領者」表でユーザー名またはグループ名を特定し、その権限受領者の「アカウント名」のリンクをクリックしてアカウントを開きます。
「アカウント: AccountName」ページが表示されたら、「権限付与」タブをクリックします。
「ユーザー」または「グループ」表で権限受領者を特定し、その行の「使用ポリシー」メニューを使用して異なるポリシーを選択します。
「適用」をクリックして変更を追加します。
この項では、Oracle Privileged Account Managerでターゲットを使用する場合に実行できる様々なタスクについて説明します。
注意: ターゲットを追加、編集または削除するには、セキュリティ管理者管理ロールを持つOracle Privileged Account Manager管理者である必要があります。 |
この項の内容は次のとおりです。
ターゲットとは、ユーザー、システムまたはアプリケーション・アカウントを格納および使用し、それらに依存するソフトウェア・システムです。
ターゲットは、Oracle Privileged Account Managerを使用して環境に作成することや、環境から削除することはできません。かわりに、Oracle Privileged Account Managerは、他のメカニズムを使用してプロビジョニングされた既存のターゲットを管理します。
Oracle Privileged Account Managerでターゲットを追加すると、そのターゲットに対する参照が作成されます。実際には、ターゲットを登録してOracle Privileged Account Managerにその管理を依頼することになります。Oracle Privileged Account Managerからターゲットを削除すると、単にその参照が削除されます。
Oracle Privileged Account Managerで管理するターゲットを追加するには、次の手順を実行します。
Oracle Privileged Account Managerにログインして「ホーム」アコーディオンを開きます。
「ターゲット」ノードを選択して「ターゲット」ページを開きます。
検索結果表のツールバーにある「追加」をクリックし、2つのタブを含む新しい「ターゲット: 無題」ページを開きます。
一般: ターゲットの「基本構成」および「拡張構成」情報を指定するためのパラメータを含む2つの領域があります。
特権アカウント: ターゲットで現在管理されている特権アカウントのリストが含まれ、そのターゲットによって管理されているアカウントを追加、オープンおよび削除できます。
「ターゲット・タイプ」メニューからターゲット・タイプ(ldap、unixまたはdatabase)を選択します。
「ターゲット: 無題」ページがリフレッシュされ、選択したターゲット・タイプに基づいてターゲットの構成パラメータが変更されます。(アスタリスク*
記号で示された)すべての必須属性を指定する必要があります。
次のパラメータはすべてのターゲット・タイプに共通です。
ターゲット名: 新しいターゲットの名前を入力します。
説明: このターゲットの説明を入力します。
組織: ターゲットに関連付ける組織の名前を入力します。
ドメイン: ターゲット・サーバーのドメインを入力します。
ホスト: ターゲット・サーバーのホスト名を入力します。
次の表では、各ターゲット・タイプに固有の他の基本構成パラメータについて説明します。
表5-2 ターゲットの基本構成パラメータ
LDAPターゲット・タイプ | UNIXターゲット・タイプ | データベース・ターゲット・タイプ |
---|---|---|
TCPポート: LDAPサーバーとの通信時に使用するTCP/IPポートを入力します。 上向きまたは下向きの矢印アイコンを使用して、この値を増加できます。 |
ポート: UNIXサーバーに接続するためのポートを入力します。 たとえば、FTPにはポート22を、Telnetにはポート23を使用します。 上向きまたは下向きの矢印アイコンを使用して、この値を増加できます。 |
データベース接続URL: ターゲット・システムの場所を識別するために使用するJDBC URLを入力します。次に例を示します。
|
SSL: LDAPサーバーへの接続時にSecure Socket Layer (SSL)を使用する場合、このボックスを選択します。 注意: SSLで接続する場合、Oracle Privileged Account Managerを実行しているWebLogicサーバーにSSL証明書をインポートする必要があります。詳細は、第3.3.2項「Oracle Privileged Account ManagerでのSSL通信の構成」を参照してください。 |
ログイン・ユーザー: このターゲットへの接続時に使用するユーザー名を入力します。 |
管理ユーザー名: このターゲットへの接続時に使用する管理者の名前を入力します。 注意: |
プリンシパル: LDAPサーバーに対する認証時に使用する識別名(DN)を入力します。 たとえば、cn=adminとします。 |
ログイン・ユーザー・パスワード: ユーザーのパスワードを入力します。 |
管理ユーザー・パスワード: ユーザーのパスワードを入力します。 |
パスワード: ユーザーのパスワードを入力します。 |
ログイン・シェル・プロンプト: ターゲットへのログイン時に表示するシェル・プロンプトを入力します。たとえば、 |
データベース・タイプ: コネクタを使用するデータベースのタイプ(OracleまたはMSSQL)を選択します。 このコネクタでは、Oracle MSSQL、MySQL、DB2およびSybaseの各データベース・タイプがサポートされます。 カスタム・データベース・タイプと連携するようにこのコネクタを構成することもできます。 |
ベース・コンテキスト: LDAPサーバーのツリーでユーザーを検索する場合や、ユーザーがメンバーであるグループを検索する場合に使用するLDAPツリーの1つ以上の開始点を入力します。パイプ(|)を使用して値を区切ります。 |
Sudo認可: ユーザーがsudo認可を必要とする場合、このボックスを選択します。
|
|
アカウント・ユーザー名属性: アカウントのユーザー名として使用する属性を入力します。(デフォルトはuidです。) |
次のオプションの拡張構成パラメータも指定できます。
表5-3 ターゲットの拡張構成パラメータ
LDAPターゲット・タイプ | UNIXターゲット・タイプ | データベース・ターゲット・タイプ |
---|---|---|
UID属性: |
コマンド・タイムアウト: コマンドを中断せずに完了するまで待機する時間(ミリ秒)を指定します。 |
接続プロパティ: セキュアな接続を構成する場合に使用する接続プロパティを入力します。これらのプロパティは、 |
アカウントを取得するLDAPフィルタ: LDAPリソースから返されるアカウントを制御するためのオプションのLDAPフィルタを入力します。フィルタを指定しない場合、Oracle Privileged Account Managerでは、指定したすべてのオブジェクト・クラスを含むアカウントのみが返されます。 |
||
パスワード属性: パスワードを保持するLDAP属性の名前を入力します。 ユーザーのパスワードを変更すると、Oracle Privileged Account Managerによってこの属性に新しいパスワードが設定されます。 |
||
アカウント・オブジェクト・クラス: LDAPツリーに新しいユーザー・オブジェクトを作成する場合に使用する1つ以上のオブジェクト・クラスを入力します。 個々の行に各オブジェクト・クラスを入力します。エントリを区切るのにカンマまたはセミコロンは使用しません。 一部のオブジェクト・クラスは、値を区切るためのパイプ( |
終了したら、「テスト」をクリックしてターゲットの構成を確認します。
ターゲットの構成設定が有効な場合、「テストに成功しました」というメッセージが表示されます。
「保存」をクリックして、Oracle Privileged Account Managerサーバーに新しいターゲットを追加します。
これで、このターゲットを特権アカウントに関連付けることができます。手順については、第5.1.3.2項「Oracle Privileged Account Managerへの特権アカウントの追加」を参照してください。
管理者権限を持っている場合、次の基準またはこれらの項目の組合せを使用してターゲットを検索できます。
ターゲット名
ターゲット・タイプ
ホスト名
ドメイン
ターゲットを検索するには、次の手順を実行します。
「ホーム」ツリーで「ターゲット」ノード、ターゲット・タイプ・ノードまたはドメイン・ノードを選択します。
「ターゲット」タブが表示されたら、「ターゲットの検索」ポートレットのパラメータ・フィールドを使用して検索基準を指定します。
注意: ターゲット・タイプ・ノードまたはドメイン・ノードの選択から開始した場合、Oracle Privileged Account Managerによって、その情報が「ターゲット・タイプ」フィールドまたは「ドメイン」フィールドに自動的に挿入されます。 |
「検索」をクリックします。
検索結果表で検索結果を確認します。
ターゲットを開いて、ターゲットの構成パラメータとそれに関連する特権アカウント・パラメータを確認および編集できます。
次のいずれかの方法を使用してターゲットを開きます。
検索結果表のターゲット名(アクティブ・リンク)をクリックします。
ターゲットの行を選択して「開く」アイコンをクリックします。
ターゲットおよび特権アカウント情報にアクセスできる「ターゲット: targetname」ページが表示されます。
この項では、Oracle Privileged Account Managerで特権アカウントを使用する場合に実行できる様々なタスクについて説明します。
注意: 管理者は、特定のデプロイメント内でどのアカウントに特権を付与するかを決定し、それらのアカウントを管理するようにOracle Privileged Account Managerを構成する必要があります。 アカウントを追加および管理するには、セキュリティ管理者管理ロールを持つOracle Privileged Account Manager管理者である必要があります。 |
この項の内容は次のとおりです。
ターゲット上のアカウントは、そのアカウントがデプロイメント内で次の特徴を持つ場合に特権アカウントであるとみなされます。
昇格された権限に関連付けられている
複数のエンド・ユーザーによってタスク別に使用される
その使用を制御および監査する必要がある
アカウントは、Oracle Privileged Account Managerを使用して環境に作成することや、環境から削除することはできません。Oracle Privileged Account Managerは、他のメカニズムを使用してプロビジョニングされた既存のアカウントの管理のみを行います。
Oracle Privileged Account Managerでアカウントを追加すると、そのアカウントに対する参照が作成されます。実際には、アカウントを登録してOracle Privileged Account Managerにその管理を依頼することになります。Oracle Privileged Account Managerからアカウントを削除すると、単にそのアカウントに対する参照が削除されます。
Oracle Privileged Account Managerによって、システムとアプリケーション・アカウントの両方を管理できます。次の「システム・アカウントの管理」および「アプリケーション・アカウントの管理」を参照してください。
Oracle Privileged Account Managerの主な目的は、サポートされるターゲット・システム上の特権システム・アカウントを管理することです。Oracle Privileged Account Managerでは、特権システム・アカウントの構成要素の要件はなく、ターゲット・システム上の任意のアカウントを管理できます。管理者は、特権アカウントの識別を担当します。特権アカウントは、通常、ユーザーが管理タスクを実行できるシステム・アカウントです。
特権アカウントは、組織内の複数の個人ユーザーによって使用および共有され、管理者がそれらのアカウントの使用を追跡する必要がある場合、Oracle Privileged Account Managerによる管理に適しています。
識別が終わったら、管理者は、次の手順を実行してそのアカウントを管理対象の特権アカウントとしてOracle Privileged Account Managerに登録します。
Oracle Privileged Account Managerにターゲットを追加します(まだ実行していない場合)。手順については、第5.1.2.2項「Oracle Privileged Account Managerへのターゲットの追加」を参照してください。
識別した特権アカウントをターゲットに追加し、パスワード・ポリシーを割り当てます。手順については、第5.1.3.2項「Oracle Privileged Account Managerへの特権アカウントの追加」および第5.1.1項「ポリシーの使用」を参照してください。
アクセス権を直接エンド・ユーザーに付与するか、LDAPロールまたはグループを使用して付与し、使用ポリシーを割り当てます。手順については、第5.1.4.2項「ユーザーへのアカウントの付与」および第5.1.1項「ポリシーの使用」を参照してください。
アプリケーションは、実行時にアプリケーション・アカウントを使用してターゲット・システムに接続します。従来、これらのアカウントは、管理者によってインストール時に一度設定され、その後は忘れられていました。結果として、アプリケーション・アカウントは、デプロイメントにおいて隠れた脆弱性となる可能性があります。たとえば、期限切れのポリシーを使用して作成されたために時間の経過とともにパスワードの安全性が低下したり、一般的に使用されるデプロイメント・パスワードが危殆化することがあります。
Oracle Privileged Account Managerによって、アプリケーション・アカウントの管理性を向上できます。特に、資格証明ストアにアプリケーション・アカウントを格納するアプリケーションに向いています。これらのアプリケーションでは、資格証明ストア・フレームワークを通じて資格証明ストアから実行時にアカウント資格証明を取得します。
たとえば、アプリケーション・アカウントは、本質的にシステム・アカウントの特別なバージョンであるため、第5.1.3.1.1項「システム・アカウントの管理」の説明に従ってOracle Privileged Account Managerに登録できます。次に、そのアカウントに依存するすべてのアプリケーションに対して対応するCSFマッピングを追加できます(これによって、CSFはCSF内に格納されている資格証明を一意に識別し、アプリケーションはCSFでその資格証明を検出します)。CSFマッピングの詳細は、『Oracle® Fusion Middlewareアプリケーション・セキュリティ・ガイド』のマップ名のガイドラインに関する項を参照してください。
アカウントのCSFマッピングをOracle Privileged Account Managerに登録すると、アカウントのパスワードが変更されるたびに、Oracle Privileged Account Managerによって新しいパスワードを反映するように登録済のマッピングに対応するCSFエントリが更新され、アプリケーションはサービスを中断することなく動作し続けます。
注意: Oracle Privileged Account ManagerがCSFを更新(同期化)するのは、パスワードの変更が発生した場合のみです。 |
また、アカウント・パスワードを定期的に反復するこれらのアプリケーションにパスワード・ポリシーを適用できます。パスワードを反復すると、アプリケーション・アカウントが常に最新の企業ポリシーに準拠し、安全であることが保証されます。Oracle Privileged Account Managerは、サービスを中断することなくこのタスクを実行します。
最後に、Oracle Privileged Account Managerでは、システム・アカウント(複数のエンド・ユーザーによって共有および使用される)とアプリケーション・アカウント(実行時にアプリケーションによってのみ使用される)の両方のアカウントが同時にサポートされることを意識しておくと役立ちます。この構成では、アクセス権を付与されている人間のエンド・ユーザーがアプリケーション・アカウントをチェックアウトし、アプリケーション機能を損なうことなくそのアプリケーションとして手動の管理操作を実行できます。
アプリケーション・アカウントの詳細は、第1.2.4項「Oracle Privileged Account Manager管理のCSF資格証明」を参照してください。
Oracle Privileged Account Managerでは、アカウントを共有するか共有しないかを指定できます。
非共有アカウントの方が安全性が高いため、業務上やむを得ない理由がある場合にのみ、アカウントを共有として指定することをお薦めします。共有が必要な場合、必ず第2.4.2項「共有アカウントの保護」を参照してください。
注意: アカウントは常にターゲットに追加するため、アカウントを追加する前にターゲット・オブジェクトを追加する必要があります。詳細は、第5.1.2.2項「Oracle Privileged Account Managerへのターゲットの追加」を参照してください。 |
「ホーム」アコーディオンを開きます。
次のいずれかの方法を使用して、アカウントを追加するターゲットを特定します。
「ターゲット」ノードを展開してサブツリーからターゲットを選択します。
「ターゲット」ノードをクリックし、「ターゲットの検索」ペインに検索基準を指定してターゲットを検索します。
検索結果表の「ターゲット名」のリンクをクリックしてターゲットを開きます。
「特権アカウント」タブを選択します。
検索結果表のツールバーにある「追加」をクリックします。
次の3つのサブタブを含む「アカウント: 無題」ページが表示されます。
一般: アカウントを追加するために必要な情報の指定に使用します。
権限付与: ユーザーおよびグループ(権限受領者)をアカウントに関連付けるために使用します。
資格証明ストア・フレームワーク: アカウントの資格証明ストア・フレームワーク(CSF)のマッピングを追加または削除するために使用します。
これらのタブと次の項にある手順を使用してアカウントを追加します。
終了したら、「保存」をクリックします。
新しいアカウントを追加するには、次のように「一般」タブの「ステップ1: ターゲットの設定」および「ステップ2: アカウントの追加」セクションの入力を完了する必要があります。
「ターゲット名」が未定義の場合、検索アイコンをクリックします。
「ターゲットの設定」ダイアログが表示されたら、「ターゲット名」フィールドに値を入力し、「検索」ボタンをクリックしてアカウントを追加するターゲットを特定します。
たとえば、ターゲット名が「r」で始まることがわかっている場合、「ターゲット名」フィールドにr
を入力して「検索」ボタンをクリックします。
検索結果が検索結果表に表示されたら、ターゲット名の横にある「行」ボックスを選択して「設定」をクリックします。
選択したターゲット名とそのターゲット・タイプが「一般」タブに表示されます。
「ステップ2: アカウントの追加」セクションで、「アカウント名」が未定義の場合、検索アイコンをクリックします。
「アカウントの設定」ダイアログが表示されたら、「アカウント名」フィールドに値を入力し、「検索」ボタンをクリックして追加するアカウントを特定します。
たとえば、アカウント名が「s」で始まることがわかっている場合、「アカウント名」フィールドにs
を入力して「検索」ボタンをクリックします。
検索結果が検索結果表に表示されたら、アカウント名の横にある「行」ボックスを選択して「設定」をクリックします。
選択したアカウントが「一般」タブに「アカウント名」として表示されます。
「共有アカウント」ボックスを選択すると、複数のユーザーでこのアカウントを同時にチェックアウトできます。
「使用ポリシー」および「パスワード・ポリシー」を指定します。
注意: Oracle Privileged Account Managerでは、新しいアカウントにデフォルト使用ポリシーおよびデフォルト・パスワード・ポリシーが自動的に割り当てられます。 設定されたデフォルト・ポリシーのままにするか、「使用ポリシー」および「パスワード・ポリシー」ドロップダウン・メニューから別のポリシーを選択できます。 ポリシーの詳細は、第5.1.1項「ポリシーの使用」を参照してください。 |
「テスト」をクリックし、これらの設定を使用してOracle Privileged Account Managerでアカウントを管理できることを確認します。
アカウントの構成設定が有効な場合、「テストに成功しました」というメッセージが表示されます。
これで、アカウントに権限受領者とCSFマッピングを追加できます。詳細は、後続の項を参照してください。
この項では、特権アカウントに権限受領者を追加するための手順について説明します。
注意: 新しいアカウントを追加しても、自動的にそのアカウントにアクセス権は付与されません。自分自身を権限受領者として追加するプロセスを完了する必要があります。 権限受領者を追加、編集または削除するには、「ユーザー・マネージャ」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。 |
ユーザーおよびグループを新しいアカウントに関連付けるには、「権限付与」タブを選択して次の手順を実行します。
ユーザーを関連付けるには、「ユーザー」表のツールバーにある「追加」をクリックします。
「ユーザーの追加」ダイアログで、「ユーザー名」フィールドに名前を入力し、矢印アイコンをクリックしてそのユーザーを検索します。
検索結果が表示されたら、このアカウントに関連付ける各ユーザーを選択します。
ユーザーの追加が完了したら、「追加」をクリックして「閉じる」をクリックします。
Oracle Privileged Account Managerによって、これらのユーザー名が「権限付与」タブの「ユーザー」表に追加されます。
グループを関連付けるには、「グループ」表のツールバーにある「追加」をクリックします。
「グループの追加」ダイアログで、「グループ名」フィールドに名前を入力し、矢印アイコンをクリックしてそのグループを検索します。
検索結果が表示されたら、このアカウントに関連付ける各グループを選択します。
グループの追加が完了したら、「追加」をクリックして「閉じる」をクリックします。
Oracle Privileged Account Managerによって、これらのグループ名が「権限付与」タブの「グループ」表に追加されます。
Oracle Privileged Account Managerでは、Oracle資格証明ストア・フレームワーク(CSF)を使用してアカウント資格証明を安全に格納および同期化できます。この機能は、CSFに格納されたアプリケーション・パスワードのライフサイクルを管理するために便利です。
アカウントのCSF同期化を構成すると、Oracle Privileged Account Managerによって、割り当てられた使用ポリシーに基づいてアカウント・パスワードが変更されます。
注意: Oracle Privileged Account ManagerがCSFを更新(同期化)するのは、パスワードの変更が発生した場合のみです。 |
アカウントにCSFマッピングを追加するには、次の手順を実行します。
検索結果表の「アカウント名」のリンクを選択します。
「アカウント: AccountName」ページが表示されたら、「資格証明ストア・フレームワーク」タブを選択して「追加」をクリックします。
次の情報を入力します。
管理サーバーURL: protocol://listen-address:listen-portという書式でサーバーURLを入力します。
「ユーザー名」および「パスワード」: ユーザーの資格証明を入力します。
マッピング: マップ名を入力します。
キー: 資格証明を識別する一意キーを入力します。
「追加」を再度クリックして別のマッピングを作成します。必要な数だけCSFマッピングを作成できます。
次の1つ以上のパラメータを使用してアカウントを検索できます。
アカウント名
ターゲット名
ターゲット・タイプ
ドメイン
アカウントを検索するには、次の手順を実行します。
「ホーム」ツリーの「アカウント」ノードを選択します。
「アカウント」タブが表示されたら、「アカウントの検索」ペインに検索基準を入力して「検索」をクリックします。
たとえば、特定のターゲットにおけるすべてのアカウントのリストを検索するには、ターゲット名を入力して「検索」をクリックします。検索結果が検索結果表に表示されます。
別の検索を実行するには、「リセット」をクリックします。
アカウントを開いて、そのアカウントの構成パラメータを表示または編集できます。
次のいずれかの方法を使用してアカウントを開きます。
検索結果表のアカウント名(アクティブ・リンク)をクリックします。
アカウントの行を選択して「アカウントを開く」をクリックします。
「アカウント: accountname」ページが表示され、関連付けられたターゲット、一般的なアカウント・パラメータ、権限受領者およびCSFマッピングに関する情報にアクセスできます。
Oracle Privileged Account Managerには、アカウント・パスワードを管理するための2つのオプションがあります。
チェックアウトしたアカウントのパスワードを忘れた場合、この機能を使用してそのパスワードを再表示できます。
どのユーザーでも、「パスワードの表示」を使用して、自分がチェックアウトしたアカウントの現在のパスワードを確認できます。ただし、アカウントをチェックインした後にパスワードにアクセスすることや、他のユーザーがチェックアウトしたアカウントのパスワードを表示することはできません。このような場合、「パスワードの表示」をクリックするとエラーが発生します。
セキュリティ管理者または「ユーザー・マネージャ」管理ロールを持つ管理者は、システムおよびターゲットのすべてのサービス・アカウントにアクセスできますが、この機能を使用することで、チェックアウトした特権アカウントとチェックインした特権アカウントの両方の現在のパスワードを表示できます。
パスワードのリセット: 既存のアカウント・パスワードをリセットします。
セキュリティ管理者は、ランダム化されたパスワード生成を使用しない場合、任意のパスワードを手動で設定できます。たとえば、管理者は、システム・アップグレード時などに1回かぎりで使用するため、簡単に入力できる単純なパスワードを設定できます。
アカウント・パスワードをリセットできるのは、セキュリティ管理者管理ロールを持つ管理者のみです。
手順については、第5.1.3.5.1項「アカウント・パスワードの表示」および第5.1.3.5.2項「アカウント・パスワードのリセット」を参照してください。
注意: Oracle Privileged Account Managerコマンドライン・ツールを使用して、2つのパスワード管理操作を実行することもできます。手順については、A.2.28項「 Oracle Privileged Account Managerでは、両方のタイプのパスワード管理操作が監査され、パスワード・アクセスが追跡されます。 |
選択したアカウントのパスワードを表示するには、次の手順を実行します。
検索結果表のアカウントの行を選択します。
注意: アカウント名などの表のアクティブ・リンクはクリックしないでください(クリックするとそのアカウントが開きます)。 |
表の上にある「パスワードの表示」アイコンをクリックします。
選択したアカウントの名前とそのパスワードを含むポップアップ・メッセージが表示されます。
必要に応じて、次のように選択したアカウントのパスワードを手動でリセットできます。
特権アカウントがチェックインされていることを確認します。
アカウントがチェックアウト状態にあると、手動パスワード・リセットは実行できません。
検索結果表のアカウント行を選択します。
注意: アカウント名などの表のアクティブ・リンクはクリックしないでください(クリックするとそのアカウントが開きます)。 |
表の上にある「パスワードのリセット」アイコンをクリックします。
「パスワードのリセット」ダイアログが表示されます。
「新規パスワード」フィールドにパスワードを入力し、「保存」をクリックします。
任意のパスワード文字列を使用できます。文字列は、Oracle Privileged Account Managerのパスワード・ポリシーに準拠している必要はありません(パスワード・ポリシーはランダム化されたパスワード生成に使用されるため)。
選択したアカウントの名前とそのパスワードを含むポップアップ・メッセージが表示されます。
管理者またはエンド・ユーザーは、アカウントへのアクセス権を付与されている場合、そのアカウントをチェックアウトできます。(詳細は、第5.1.4項「権限受領者の使用」を参照してください。)
注意: アカウントを変更または削除するには、セキュリティ管理者管理ロールを持つ管理者である必要があります。 |
特権アカウントは、デフォルトでは共有されず、1人のユーザーがアカウントをチェックアウトすると、他のユーザーはそれを使用できなくなり、競合する操作が回避されます。ただし、管理者は、共有アカウントを構成することで、複数のユーザーが同時にそのアカウントをチェックアウトできるように設定できます。(詳細は、第5.1.3.1.3項「アカウントの共有」を参照してください。)
アカウントをチェックアウトする手順は次のとおりです。
「ホーム」アコーディオンの「アカウント」ノードを展開し、アカウント・ターゲットを選択します。
「アカウント」タブが表示されたら、検索結果表でチェックアウトするアカウントを特定します。
アカウントをチェックアウトできる場合、「アカウント・ステータス」が「使用可能」で、「チェックアウト」ボタンが表示されます。
アカウントをチェックアウトできない場合、「アカウント・ステータス」は「権限なし」です。
「チェックアウト」ボタンをクリックします。
「アカウントのチェックアウト」ダイアログが表示されたら、「コメント」フィールドにコメントを入力し、「チェックアウト」をクリックします。
チェックアウトに成功した場合、次のようになります。
非共有アカウントの場合、「アカウント・ステータス」は「チェックアウト済」に変更され、「チェックアウト」ボタンは「チェックイン」ボタンに変化し、Oracle Privileged Account Managerによって「マイ・チェックアウト済アカウント」ページにそのアカウントがリストされます。
共有アカウントの場合、「アカウント・ステータス」は「使用可能」のままで、「チェックアウト」ボタンも引き続き表示され、Oracle Privileged Account Managerによって「マイ・チェックアウト済アカウント」ページにそのアカウントがリストされます。
どの管理者またはエンド・ユーザーでも、アカウントをチェックインできます。
注意: 「アカウントの検索」ページ、Oracle Privileged Account Managerコマンドライン・ツールまたはRESTfulインタフェースを使用してアカウントをチェックインすることもできます。 |
アカウントをチェックインする手順は次のとおりです。
「ホーム」アコーディオンの「マイ・チェックアウト済アカウント」を選択します。
検索結果表にすべてのチェックアウト済アカウントがリストされた「マイ・チェックアウト済アカウント」ページが表示されます。
チェックインする1つ以上のアカウントを選択します。
表の上にある「チェックイン」アイコンをクリックします。
「アカウントのチェックイン」ダイアログが表示されたら、「チェックイン」ボタンをクリックします。
チェックインに成功すると、Oracle Privileged Account Managerによってアカウント名が「マイ・チェックアウト済アカウント」表から削除され、そのアカウントは再度チェックアウトできるようになります。
「ターゲット」ページまたは「アカウントの検索」ページを使用して、Oracle Privileged Account Managerから特権アカウントを削除できます。
「ターゲット」ページでは次の操作を実行します。
ターゲットからアカウントを削除するには、次の手順を実行します。
「ホーム」アコーディオンを開きます。
アカウントを削除するターゲットを特定します。
「ターゲット」ノードを展開してサブツリーからターゲットを選択します。
「ターゲット」ノードをクリックし、「ターゲットの検索」ペインに検索基準を指定してターゲットを検索します。
検索結果表のターゲット名をクリックし、そのターゲットを開きます。
「特権アカウント」タブを選択します。
検索結果表で、削除するアカウントを選択して「削除」をクリックします。
終了したら、ページの上部にある「適用」ボタンをクリックします。
「アカウントの検索」ページでは次の操作を実行します。
「アカウントの検索」ページからアカウントを削除するには、次の手順を実行します。
「ホーム」アコーディオンを開きます。
「ホーム」ツリーで「アカウント」ノード、ターゲット・タイプ・ノードまたはドメイン・ノードをクリックし、「アカウントの検索」ページを開きます。
削除するアカウントを特定します。
「アカウント」ノードを選択した場合、「アカウントの検索」セクションのフィールドを使用してアカウントを検索します。検索結果が検索結果表に表示されます。
ターゲット・タイプまたはドメイン・ノードを選択した場合、アカウントは検索結果表にリストされます。
検索結果表で、削除するアカウントを選択して「削除」をクリックします。
終了したら、ページの上部にある「適用」ボタンをクリックします。
この項では、Oracle Privileged Account Managerで権限受領者を使用する場合に実行できる様々なタスクについて説明します。
注意: 権限受領者を追加、編集または削除するには、「ユーザー・マネージャ」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。 |
内容は次のとおりです。
権限受領者とは、Oracle Privileged Account Manager管理者によって管理される特権アカウントに対するアクセス権を付与されたIDストア内のユーザーまたはグループです。ユーザーは、特権アカウントに対するアクセス権を付与されていない場合、そのアカウントをチェックアウトできません。
特権アカウントに対するアクセス権を付与するには、次の手順を実行します。
「ホーム」アコーディオンを開きます。
「アカウント」またはサブノードをクリックして、アクセス権を付与するアカウントを特定します。
必要に応じて、「アカウントの検索」ポートレットを使用して前述のとおりアカウントを検索します。
検索結果表のアカウント名を選択します。
「一般」、「権限付与」および「資格証明ストア・フレームワーク」タブが表示されます。
「権限付与」タブを選択します。
このアカウントにすでに関連付けられているユーザーがいる場合、その名前が「ユーザー」領域の表にリストされます。
「追加」をクリックして「ユーザーの追加」ダイアログを開きます。
「ユーザーの追加」ダイアログで、ユーザー名の全部または一部を入力して矢印アイコンをクリックし、追加するユーザー名を検索します。
たとえば、sec_adminユーザーにアクセス権を付与する場合、このフィールドにsec
と入力すると、これらの文字を含む既存のユーザー名が検索結果に表示されます。
ユーザー名を選択して「追加」をクリックし、選択したユーザーを権限受領者として追加します。
「Close」をクリックしてダイアログを閉じます。
新しいユーザーの名前が表に表示されます。
注意: この時点で、デフォルト使用ポリシーがユーザーに自動的に割り当てられます。ただし、「使用ポリシー」メニューを使用してそのユーザーに別のポリシーを選択できます。 |
特権アカウントに対するアクセス権を付与するには、次の手順を実行します。
「ホーム」アコーディオンを開きます。
「アカウント」またはサブノードをクリックして、アクセス権を付与するアカウントを特定します。
必要に応じて、「アカウントの検索」ポートレットを使用して前述のとおりアカウントを検索します。
検索結果表のアカウント名を選択します。
「一般」、「権限付与」および「資格証明ストア・フレームワーク」タブが表示されます。
「権限付与」タブを選択します。
このアカウントにすでに関連付けられているグループがある場合、その名前が「グループ」領域の表にリストされます。
「追加」をクリックして「グループの追加」ダイアログを開きます。
「グループの追加」ダイアログで、グループ名の全部または一部を入力して矢印アイコンをクリックし、追加するグループ名を検索します。
たとえば、OPAM_USER_MANAGERグループにアクセス権を付与する場合、このフィールドにopam
と入力すると、これらの文字を含む既存のグループ名が検索結果に表示されます。
グループ名を選択して「追加」をクリックし、選択したグループを権限受領者として追加します。
「Close」をクリックしてダイアログを閉じます。
新しいグループの名前が表に表示されます。
注意: この時点で、デフォルト使用ポリシーがグループに自動的に割り当てられます。ただし、「使用ポリシー」メニューを使用してそのグループに別のポリシーを選択できます。 |
管理者権限を持っている場合、次の基準またはこれらの項目の組合せを使用して権限受領者を検索できます。
ユーザー権限受領者の場合は次のとおりです。
ユーザー名
名
姓
ターゲット名
アカウント名
グループ権限受領者の場合は次のとおりです。
名前
説明
ターゲット名
アカウント名
権限受領者を検索するには、次の手順を実行します。
「ホーム」ツリーの「権限受領者」ノードで「ユーザー」または「グループ」を選択します。
「ユーザーの検索」または「グループの検索」ポートレットが右側に表示されたら、表示されている1つ以上のフィールドに検索基準を入力します。
「検索」をクリックします。
検索結果表で検索結果を確認します。
権限受領者を開いて、そのユーザーまたはグループ権限受領者の情報を表示できます。
次のいずれかの方法を使用して権限受領者を開きます。
検索結果表のユーザー名またはグループ名(アクティブ・リンク)をクリックします。
ユーザーまたはグループの行を選択して「開く」アイコンをクリックします。
「ユーザー: username」または「グループ: groupname」ページが表示され、その権限受領者の情報を確認できます。
Oracle Privileged Account Managerレポートは、Oracle Privileged Account Managerが管理しているアカウントおよびターゲットの現在のステータスに関する情報を提供するリアルタイム・レポートです。
注意: Oracle Privileged Account Managerレポートを開いて確認するには、「セキュリティ監査者」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。 |
この項の内容は次のとおりです。
レポートを表示するには、「レポート」アコーディオンを開いていずれかの「レポート」リンクをクリックします。レポート情報が右側の「レポート」ページに表示されます。
「デプロイメント・レポート」リンクを選択すると、ターゲットおよび特権アカウントが現在どのようにデプロイされているかに関する情報が表示されます。
デプロイメントに関する情報は、次の3つのポートレットに分類されます。
「ターゲットとアカウントのデプロイメント」表: ターゲットのリストがそのターゲット・タイプおよびホスト名とともに表示されます。ターゲット名の横にある矢印アイコンを展開すると、そのターゲットに関連付けられたアカウントが表示されます。
ヒント: 「ターゲット/アカウント」列のリンクをクリックすると、そのターゲットまたはアカウントの構成ページを表示できます。 |
ターゲット分布: このポートレットには、ターゲットが現在のデプロイメント内にどのように分布しているかが示されます。
アカウント分布: このポートレットには、アカウントが現在のデプロイメント内にどのように分布しているかが組織別に示されます。
「表示」および「フィルタ」ドロップダウン・メニューを使用して、レポート内容の表示方法を制御できます。たとえば、「表示」メニューを使用すると、すべてのターゲットを表示したり、結果をフィルタして特定のターゲットを表示することができます。「フィルタ」メニューを使用すると、棒グラフ、円グラフまたは表形式でターゲットとアカウントの分布を表示できます。
「使用状況レポート」リンクを選択すると、デプロイメントで特権アカウントが現在どのように使用されているかに関する情報が表示されます。この情報は次のポートレットに表示されます。
アカウント使用状況: このポートレットには、ターゲット、ターゲット・タイプ、ホスト名および最終チェックアウト日のリストが表示されます。ターゲット名の横にある矢印アイコンを展開すると、そのターゲットに関連付けられたアカウントが表示されます。
チェックアウト済アカウント: このポートレットには、デプロイメント内でチェックアウトされているターゲットが表示されます。
「表示」および「フィルタ」ドロップダウン・メニューを使用して、レポート内容の表示方法を制御できます。たとえば、「表示」を選択すると、現在チェックアウトされているアカウントまたは過去1時間、1日、1週間以内にチェックアウトされたアカウントを表示できます。「フィルタ」メニューを使用すると、棒グラフ、円グラフまたは表形式でレポート情報を表示できます。
「エラー・レポート」には、ターゲットおよびアカウントの失敗の現在の状態に関する情報が表示されます。この情報は次のポートレットに表示されます。
ターゲットおよびアカウントの失敗: このポートレットには、ターゲット、ターゲット・ステータス、最終エラー・メッセージおよび最終失敗日のリストが表示されます。ターゲットの横にある矢印アイコンを展開すると、そのターゲットに関連付けられたアカウントが表示されます。
ターゲットの失敗: このポートレットには、デプロイメント内のターゲットの失敗が示されます。
アカウントの失敗: このポートレットには、デプロイメント内のアカウントの失敗が示されます。
「表示」および「フィルタ」ドロップダウン・メニューを使用して、レポート内容の表示方法を制御できます。たとえば、「表示」を選択すると、過去24または48時間、過去1週間、過去30日間に発生したエラーを表示できます。「フィルタ」メニューを使用すると、棒グラフ、円グラフまたは表形式でレポート情報を表示できます。
この項では、Oracle Privileged Account Managerを使用するユーザーの操作手順について説明します。
内容は次のとおりです。
この項では、セルフサービス・ユーザーの基本ワークフローについて説明します。
アカウントの検索
アカウントのチェックアウト
チェックアウトしたアカウントの表示
アカウントのチェックイン
アカウントを検索するには、第5.1.3.3項「特権アカウントの検索」の手順に従ってください。
自分に付与されている特権アカウントをチェックアウトするには、第5.1.3.6項「アカウントのチェックアウト」を参照してください。
アカウントを再度チェックインするには、第5.1.3.7項「アカウントのチェックイン」の手順に従ってください。
ある環境から別の環境にOracle Fusion Middlewareコンポーネントを移動する方法の詳細は、『Oracle Fusion Middleware管理者ガイド』のテスト環境から本番環境への移動に関する項を参照してください。
Oracle Privileged Account Managerを含むIdentity Managementコンポーネントをテスト環境から本番環境に移動する方法の詳細は、『Oracle Fusion Middleware管理者ガイド』のターゲット環境へのIdentity Managementコンポーネントの移動に関する項を参照してください。