Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-01 |
|
![]() 前 |
![]() 次 |
この章では、Oracle Privileged Account Managerの概要について説明します。この章の内容は次のとおりです。
Oracle Privileged Account Managerは、他のOracle Identity Managementコンポーネントによって管理されていない特権アカウントを管理します。
アカウントは、機密データにアクセスできる場合、機密データへのアクセス権を付与できる場合、またはそのデータへのアクセスとアクセス権付与の両方ができる場合に特権とみなされます。特権アカウントは、企業の最も強力なアカウントであり、頻繁に共有されます。
アカウントは、昇格された権限に関連付けられている場合、複数のエンド・ユーザーによってタスク別に使用される場合、制御および監査を受ける必要がある場合にOracle Privileged Account Managerの管理下に入ります。
たとえば、次のアカウントにはセキュリティが必要であり、コンプライアンス規制を受ける可能性があります。
UNIX root、Windows管理者およびOracle Database SYSDBAシステム・アカウント
アプリケーション・アカウント(人事管理アプリケーションへの接続時にアプリケーション・サーバーによって使用されるデータベース・ユーザー・アカウントなど)
共有および昇格された従来の特権ユーザー・アカウント(システム管理者やデータベース管理者など)
管理者は、特定のデプロイメント内でどのアカウントに特権を付与するかを決定し、それらのアカウントを管理するようにOracle Privileged Account Managerを構成する必要があります。
Oracle Privileged Account Managerでは、通常、共有および昇格された特権アカウントを管理しますが、管理者はこれを使用して任意のタイプのアカウントのパスワードを管理することもできます。たとえば、ある従業員が長期休暇に入り、その従業員の電子メール・アカウントを使用して別の従業員がシステムにアクセスすることを許可する業務上の理由がある場合、Oracle Privileged Account Managerによってその権限を管理できます。
Oracle Privileged Account Managerによって、従来はいくつかの理由により管理が困難であった特権アカウントおよびパスワードを管理し、そのセキュリティを向上できます。
まず、特権アカウントには、一般的に通常のユーザー・アカウントより多くのアクセス権が付与されています。これらのアカウントは1人の特定の従業員に関連付けられていないことが多く、既存のツールやプロセスによる監査は困難であることが普通です。その結果、従業員が会社を退社すると、まだ使用できる特権アカウントのパスワードがそのまま残される可能性があり、コンプライアンスおよびセキュリティ上の非常に深刻な問題となります。
また、特権アカウントのパスワードを定期的に変更することは困難です。多くのユーザーがそのアカウントに依存している場合、パスワードを変更してユーザー全員に通知するには、調整のための作業が必要です。
最後に、パスワードへのアクセスを制御できなくなるため、パスワードを集中管理された場所や典型的な場所(LDAPなどの外部リポジトリやアプリケーション構成ファイルなど)に格納することは避けるのが普通です。
Oracle Privileged Account Managerは、次の機能を提供するため、特権アカウントを安全に管理するための完全なソリューションとなります。
特権および共有アカウントのための集中管理されたパスワード管理(UNIXおよびLinuxのrootアカウント、Oracle Database SYSDBA、アプリケーション・アカウントおよびLDAP管理者アカウントを含む)
対話的なポリシーベースのアカウントのチェックアウトおよびチェックイン
Oracle Privileged Account Managerでは、認可されたすべてのユーザーは、アカウントを使用前にチェックアウトし、作業終了後にそのアカウントをチェックインする必要があります。Oracle Privileged Account Managerは、任意の時点におけるすべての共有管理者ユーザーの実際の身元(そのユーザーの名前)を追跡することで、アカウントのチェックアウトとチェックインを監査します。この情報を使用することで、Oracle Privileged Account Managerでは、どのユーザーが何に、いつ、どこでアクセスしたのかを示す完全な監査証跡を提供できます。
アイデンティティ・コネクタ・フレームワーク(ICF)を使用した自動パスワード変更
Oracle Privileged Account Managerは、パスワードのチェックアウト時およびチェックイン時にパスワードを変更します(そのように構成されている場合)。したがって、ユーザーがあるパスワードをチェックアウトし、その後チェックインすると、そのユーザーは前にチェックアウトしたパスワードを使用できなくなります。
また、Oracle Privileged Account Managerは、アプリケーションの特権アカウントのパスワードを、それらのアプリケーションを変更することなく(90日ごとなどの)指定した間隔で変更でき、各パスワードをターゲット・システム上で同期化します。たとえば、Oracle Privileged Account Managerは、サービスとスケジュール済タスクの資格証明を更新できます。
Oracle Identity Managerを使用したユーザーおよびグループ管理とワークフローの統合
Oracle Privileged Account Managerの主要機能は次のとおりです。
Oracle Privileged Account ManagerのWebベースのユーザー・インタフェース(コンソールと呼ばれる)、RESTful API、Oracle Privileged Account Managerのコマンドライン・ツール(CLI)などの複数のアクセス・ポイント
Oracle Privileged Account Managerの簡易なRESTful APIによって、アプリケーションやスクリプトからOracle Privileged Account Managerの機能にアクセスできます。
Oracle Privileged Account ManagerのWebベースのユーザー・インタフェースからアクセスできる管理者およびセルフサービスのユーザー・インタフェース
メタデータの格納および機能の認可のためのOracle Platform Security Services (OPSS)ポリシー・ストア
アイデンティティを認証してOracle Privileged Account Managerのユーザー・インタフェースからOracle Privileged Account Managerサーバーに伝播するためのOracle Platform Security Services (OPSS)トラスト・サービス
ターゲット・システムと特権アカウントに安全にパスワードを格納し、Oracle WebLogic Server (WLS)で実行中のアプリケーションを変更することなく、コンプライアンスのためにアプリケーションの特権アカウントのパスワードを定期的に更新できる資格証明ストア・フレームワーク(CSF)
ターゲットに接続し、各システムにおける特権アカウントのパスワードの検出または更新(あるいはその両方)を行うためのアイデンティティ・コネクタ・フレームワーク(ICF)
オペレーティング・システム、データベース、LDAPディレクトリ、Oracle Fusion Middlewareアプリケーションなどの複数のターゲット・タイプのサポート
また、ICFはオープン標準であるため、オラクル社がまだICFコネクタを作成していない他のタイプのターゲットに対しても独自のコネクタを記述できます。
ICFおよび独自コネクタ開発の詳細は、『Oracle® Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタ・フレームワークの概要に関する項およびJavaを使用したアイデンティティ・コネクタの開発に関する項または.Netを使用したアイデンティティ・コネクタの開発に関する項を参照してください。
拡張レポート機能
Oracle Privileged Account Managerのすぐに使用可能な監査レポートは、Oracle Business Intelligence Publisher 11g (BI Publisher)に統合されているため、特権アカウントを使用しているユーザーを確認できます。また、BI Publisherでは、データ・ソースが異なる書式設定されたレポートを作成および管理できます。
Oracle Fusion Middleware監査フレームワークは、集中管理されたデータベースに監査イベントを記録します。Oracle Privileged Account Managerでは、これらのイベントを使用して監査レポートを生成します。
特権アカウントのアクセスに関連するイベントは、監査とアテステーションのためにOracle Identity ManagerおよびOracle Identity Analyticsに収集されます。
特権アカウントに対するポリシー・ドリブン・アクセス
有人アカウント(ユーザーが存在する)および無人アカウント(ユーザーが存在しない)の管理機能
無人アカウント(サービス・アカウントとも呼ばれる)は、Oracle Privileged Account Managerがターゲット・システムへの接続時に使用するアカウントです。たとえば、新しいターゲット・システムを追加して登録する場合、このアカウントとパスワードを指定する必要があります。
Oracle Privileged Account Managerは、サービス・アカウントを使用してOracle Privileged Account Manager関連のすべての操作(アカウントの検出やパスワードのリセットなど)をそのシステムで実行するため、サービス・アカウントにはいくつかの特別な権限とプロパティを付与する必要があります。エンド・ユーザーがサービス・アカウントを使用することはありません。
第1.2項「Oracle Privileged Account Managerを使用する理由」で説明した機能に加え、Oracle Privileged Account Managerには次の特長があります。
特権アカウントとターゲットの関連付け
特権アカウントに対するアクセス権のユーザーおよびロールへの付与と、そのアクセス権の削除
Oracle Privileged Account Managerのパスワード・リクエスト・システムで管理されているパスワードに対するロールベースのアクセスの提供
パスワードのチェックアウトおよびチェックインによるアカウントへのアクセスの制御
チェックインおよびチェックアウト時にデフォルトでパスワードをランダム値にリセット
特権アカウントをチェックアウトしたが明示的にそのアカウントをチェックインしないユーザーに対応するため、指定した期間の経過後に特権アカウントを自動的にチェックインするようにOracle Privileged Account Managerを構成できます。
ユーザーが特権アカウントをチェックアウトできる期間を制限することもできます。
サポートされているターゲットでのパスワード・リセットの管理
次のものを特定するための認可決定の実施
エンド・ユーザーまたは管理者に公開するターゲット、特権アカウントおよびポリシー
エンド・ユーザーおよび管理者が実行できる操作(追加、変更、チェックインおよびチェックアウト)
ポリシーと特権アカウントの関連付け
ターゲット、特権アカウント、ポリシーに対する作成、読取り、更新、削除および検索(CRUD)操作の実行とサポート
これは、Oracle Privileged Account ManagerのRESTful APIを通じて公開される主要機能です。チェックインやチェックアウトなどもRESTfulインタフェースを通じてサポートされます。
Oracleの一般的な監査、ロギングおよびレポート機能を使用したアクセスの監視とレポート
Oracle Privileged Account Managerによる複数の高可用性機能の提供
次の図では、Oracle Privileged Account Managerのアーキテクチャおよびトポロジを示します。
この図を確認する場合、次の点に注意することが重要です。
Oracle Privileged Account Managerのコア・ロジックは、すべてOracle Privileged Account Managerサーバーに存在します。この機能は、データがJavaScript Object Notation (JSON)としてエンコードされるRepresentational State Transfer (RESTまたはRESTful)サービスを通じて公開されます。
注意: Oracle Privileged Account Managerによって、Oracle Identity NavigatorのWebベースのユーザー・インタフェース(コンソールとも呼ばれる)と、Oracle Privileged Account Managerコマンドライン・ツール(CLI)が提供されます。どちらのインタフェースも基本的にはOracle Privileged Account Managerサーバーのクライアントです。 ただし、サードパーティは、オープンRESTfulサービスを利用することで、カスタム・アプリケーションなどの独自のクライアントを記述できます。詳細は、付録B「Oracle Privileged Account ManagerのRESTfulインタフェースの使用」を参照してください。 |
Oracle Privileged Account Managerの認証は、WebLogicのJava Authentication & Authorization Service (JAAS)サポートに依存します。
WebLogicでのJAASサポートの詳細は、『Oracle® Fusion Middleware Oracle WebLogic Serverセキュリティの理解』のWebLogicセキュリティ・サービスのアーキテクチャに関する項を参照してください。
Oracle Privileged Account Managerの認証の詳細は、第2.2項「Oracle Privileged Account Managerの認証について」を参照してください。
Oracle Privileged Account Manager関連のコンポーネント(Oracle Privileged Account Managerのコンソール、コマンドライン・インタフェースおよびサーバー)との通信、および各コンポーネント間の通信は、すべてSSLを介して行われます。
Oracle Privileged Account Managerは、Oracle Privileged Account Managerのデプロイ先であるWebLogicドメインで構成されているIDストア、ポリシー・ストアおよび資格証明ストアに依存し、それらを透過的に使用します。
実行時にOracle Privileged Account Managerによって必要とされるすべてのパスワード(ターゲット・システムのパスワードやアカウントの一時パスワードなど)は、資格証明ストア・フレームワークを通じて資格証明ストアに格納されます。
詳細は、第1.3項「Oracle Privileged Account ManagerのOracle Fusion Middlewareへのデプロイ方法」を参照してください。
Oracle Privileged Account Managerコンソールは、Oracle Application Development Framework (ADF)を利用し、これによってレンダリングされます。
ADFの詳細は、次のWebサイトを参照してください。
http://www.oracle.com/technetwork/developer-tools/adf/overview/index.html
Oracle Privileged Account Managerは、ICFコネクタを使用してターゲットに接続します。
詳細は、『Oracle® Fusion Middleware Oracle Identity Manager開発者ガイド』のアイデンティティ・コネクタ・フレームワークの概要に関する項を参照してください。
資格証明ストア・フレームワーク(CSF)は、主に資格証明にセキュアな格納場所を提供するOPSSコンポーネントです。たとえば、CSFは、多くのアプリケーションでアプリケーション資格証明を格納するためのメカニズムとして使用されます。
Oracle Privileged Account Managerによって、管理者は、アカウント資格証明を保護、共有、監査および管理の対象として識別できます。また、Oracle Privileged Account Managerでは、定期的なパスワード変更などのアカウント・ライフサイクル管理アクティビティがサポートされます。
多くのアプリケーション開発者がCSFを使用して必要なターゲット(RDBMSやLDAPなど)のアプリケーション資格証明を格納していますが、CSFの使用方法については、次のように改善が可能ないくつかの側面があります。
CSFに資格証明を格納するアプリケーションでは、それらの資格証明を共有することは想定されていません。そのため、CSFの特定のインスタンスは、同じ資格証明に対する複数の参照を保持できます。たとえば、複数のアプリケーションが、同じ物理資格証明に依存しながら、複数の論理参照を保持していることがあります。
コンプライアンスおよび内部ITポリシー要件を満たすには、定期的にアプリケーション資格証明を変更することが必要です。ただし、ターゲット上の資格証明を変更し、その後にCSF参照を変更することは、手動タスクのままであるため、CSFの同じ資格証明に対して複数の参照が存在する可能性があることを考えると、これは非常に複雑な作業です。つまり、管理者は、ターゲット上のパスワードまたは資格証明を変更してから、CSFのそのパスワードに対するすべての参照を手動で更新する必要があります。
Oracle Privileged Account Managerでは、このプロセスを自動化できますが、資格証明の定期的な変更の自動化は、正確にトレースできない複数の参照が存在する可能性によって、同じように複雑になります。
Oracle Privileged Account Managerは、そのアカウント・ライフサイクル管理機能を利用して、CSFに格納されているアプリケーション資格証明のライフサイクル管理を支援します。
Oracle Privileged Account Managerで特定のアカウント資格証明を管理することに決定したら、Oracle Privileged Account Managerを通じてその資格証明をプロビジョニングする必要があります。次の図では、このプロビジョニング・プロセスを示します。
管理者の作業は次のとおりです。
Oracle Privileged Account Managerターゲットを追加します(必要な場合)。
Oracle Privileged Account Managerの特権アカウントまたは資格証明をターゲットに追加します(ターゲットには必要なCSFマッピングが含まれている必要があります)。
注意: CSFマッピングは、CSF内で特定の資格証明インスタンスを一意に識別するためのメカニズムです。 |
Oracle Privileged Account Managerサーバーは、特権アカウントのその表現とともに、CSFマッピングを格納します。Oracle Privileged Account Managerサーバーによって、指定されたマッピングに対応するCSFに資格証明のインスタンスが作成されます。
第1.2.4.1項「プロビジョニング」の説明に従ってプロビジョニングしたアカウントには、パスワード構成や定期的な変更の要件などを制御するパスワード・ポリシーを関連付けることができます。
Oracle Privileged Account Managerは、通常、ポリシーに準拠してアクションを実行します。ただし、管理者が、CSFマッピングに関連付けられているアカウント資格証明を変更すると、Oracle Privileged Account Managerによって、常にそれらのマッピングのあるCSFに格納された資格証明インスタンスも更新されます。この更新によって、すべての関連ユーザーが最新の資格証明にアクセスし、定期的な変更などのパスワード・ライフサイクル・イベントをシームレスに管理できるようになります。
Oracle Privileged Account Managerを使用してアプリケーションの資格証明を管理する場合、そのアプリケーションに追加の負荷は発生しません。発生する唯一のプロセス変更は、最初にOracle Privileged Account Managerを通じて資格証明をOracle Privileged Account ManagerおよびCSFにプロビジョニングする必要があることです。
Oracle Privileged Account Managerは、管理者指定のマッピングを使用してCSFに資格証明を送信します。これらのマッピングが変更されない場合、アプリケーションでは、直接CSFを通じて継続的に資格証明にアクセスできます。
次の図では、Oracle Fusion Middleware内にOracle Privileged Account Managerをデプロイする方法を示します。
この図を確認する場合、次の点に注意してください。
すべてのコンポーネントが単一のWebLogicドメイン内にデプロイされます。
Oracle Identity NavigatorとOracle Privileged Account ManagerのWebベースのユーザー・インタフェースは、どちらもWebLogic管理サーバーにデプロイされます。
OPSS IDストアとOPSSセキュリティ・ストア(ポリシー・ストアと資格証明ストアを含む)は、WebLogicドメイン全体の構成要素であるため、ドメインごとに1つずつ存在します。
Oracle Privileged Account Managerは、単純にそのドメインに構成されている設定に従って動作します。Oracle Privileged Account Manager固有の構成を使用して、これらの構成要素およびサービスを使用する必要はありません。また、これらの構成要素やサービスの使用方法は、Oracle Privileged Account Managerによって抽象化されるため、背後の動作を詳細に理解する必要はありません。
OPSS IDストアは、WebLogicに埋め込まれたLDAP (即時利用可能)または外部LDAPサーバーを指します。
構成手順は、『Oracle® Fusion Middlewareアプリケーション・セキュリティ・ガイド』のアイデンティティ・ストア・サービスの構成に関する項を参照してください。
OPSSセキュリティ・ストアは、XMLファイル・ベースのストア(即時利用可能)、外部RDBMSまたは外部LDAPサーバーを指します。
構成手順は、『Oracle® Fusion Middlewareアプリケーション・セキュリティ・ガイド』のOPSSセキュリティ・ストアの構成に関する項を参照してください。
ポリシー・ストアおよび資格証明ストアの管理の詳細は、『Oracle® Fusion Middlewareアプリケーション・セキュリティ・ガイド』のポリシー・ストアの管理に関する項および資格証明ストアの管理に関する項を参照してください。