| Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-01 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11gリリース2 (11.1.2) B69534-01 |
|
前 |
次 |
この章では、Oracle Privileged Account ManagerがOracle Privileged Account Managerサーバーで提供される認証および認可フレームワークを使用して、異なるタイプのユーザーを認証および認可する方法について説明します。
また、この章では、デプロイメント環境でOracle Privileged Account Managerのセキュリティを向上するために使用できる様々な方法についても説明します。
内容は次のとおりです。
Oracle Privileged Account Managerサーバーで提供される認証および認可フレームワークには、次の機能および特長があります。
OPSSトラスト・トークンおよびHTTP Basic認証のサポート
Oracle Privileged Account Managerのユーザー・インタフェースを構成して、Oracle Single Sign-On (SSO)を使用することもできます。
認証におけるJava Authentication & Authorization Service (JAAS)の利用
異なるOracle Privileged Account Manager固有の管理ロールおよび対応するOracle Privileged Account Manager固有の職責の定義
次のものを特定するための認可決定の実施
管理者またはエンド・ユーザーに公開するターゲットおよび特権アカウント
エンド・ユーザーまたは管理者がターゲット、特権アカウントおよびポリシーに対して実行できる操作(追加、変更、チェックイン、チェックアウトなど)
特権アカウントの使用ポリシーおよびパスワード・ポリシーのサポート
WebLogic ServerのOPSSトラスト・サービスを使用して、SAMLベースのトークン認証が提供されます。OPSSポリシー・ストアには、認可決定エンジンによって必要とされるすべてのメタデータが格納されます。
次の図では、Oracle Privileged Account Managerの認証を示します。
トラスト・サービス・インスタンスは、通常、Oracle Privileged Account Managerのインストールおよび構成プロセスの一環として、クライアント・アプリケーションからOracle Privileged Account Managerサーバーにユーザー・アイデンティティを安全に伝播するように構成されます。
Oracle Privileged Account Managerで認証が必要になる場合は次のとおりです。
ユーザーとクライアントがOracle Privileged Account ManagerのWebベースのユーザー・インタフェースおよびOracle Identity Navigatorと相互作用する場合
ユーザーとクライアントがOracle Privileged Account Managerサーバーと直接相互作用する場合
どちらの場合でも、Oracle Privileged Account Managerでは、SSLを介した即時利用可能な次の認証モードがサポートされます。
また、Oracle Privileged Account ManagerおよびOracle Identity Navigatorでは、ドメイン固有のIDストアに対して透過的に実行される、UIベースの相互作用に対応したADFベースの認証もサポートされます。
Oracle Privileged Account ManagerのWebベースのユーザー・インタフェース(コンソール)では、Oracle Identity Navigatorと同じ認証メカニズムがサポートされ、Oracle Single Sign-On (SSO)でインタフェースを構成できます。
ユーザーがOracle Privileged Account ManagerコンソールおよびOracle Identity Navigatorと相互作用すると、次の処理が発生します。
|
注意: Oracle Privileged Account Manager管理者およびユーザーは、Oracle Privileged Account Managerの初期設定中を除き、通常はOracle Identity Navigatorインタフェースを使用する必要はありません。 |
ユーザーは、ADF認証の使用によって、Oracle Privileged Account ManagerコンソールおよびOracle Identity Navigatorに対して認証されます。
Oracle Privileged Account ManagerコンソールおよびOracle Identity Navigatorは、OPSSトラスト・サービスをコールして、Oracle Privileged Account Managerコンソールにログインしたユーザーのアイデンティティをアサートするトークンをリクエストします。
ここで、Oracle Privileged Account ManagerコンソールおよびOracle Identity NavigatorがOracle Privileged Account Manager機能を実行するためにOracle Privileged Account Managerサーバーに対してRESTfulコールを行うと、常にOracle Privileged Account ManagerコンソールおよびOracle Identity Navigatorによって、生成されたトークンがOracle Privileged Account Managerサーバーに示されます。
デフォルトでOPSSトラスト・サービス・アサーション・プロバイダが構成されているため、アサーション・プロバイダは、前のステップで示されたトークンを調査および検証した後、Oracle Privileged Account Managerサーバーに対してRESTfulコールを実行しているアイデンティティがトークンに含まれているものであることをアサートします。
このプロセスは、アイデンティティ伝播と呼ばれます。エンド・ユーザーはOracle Privileged Account ManagerコンソールおよびOracle Identity Navigatorに対して認証を行うのみですが、Oracle Privileged Account ManagerコンソールおよびOracle Identity Navigatorは、リクエストを作成しているアイデンティティをOracle Privileged Account Managerサーバーに安全に伝達できます。
アイデンティティ伝播に関する重要な注意点は、これによってエンド・ユーザーは、Oracle Privileged Account Managerコンソール、Oracle Identity NavigatorおよびOracle Privileged Account Managerサーバーに対して認証を行う必要がなくなるということです。
Oracle Privileged Account Managerサーバーは、RESTfulインタフェースを公開するのみで、HTTP Basic認可またはOPSSトラストをサポートします。また、Oracle Privileged Account Managerサーバーでは、そのサーバーとのすべての通信がSSLで保護されたチャネルを介して行われる必要があります。
Oracle Privileged Account Managerのコマンドライン・ツール・クライアントは、SSLを介したHTTP Basic認証を使用してOracle Privileged Account Managerサーバーに接続し、その認証を受けます。
この項では、Oracle Privileged Account Managerの認可について説明します。
内容は次のとおりです。
共通管理者ロールは、Oracle Identity Managementアプリケーションへの管理アクセスを保護するために事前定義された標準のアプリケーション・ロールのセットです。これらのロールは、Oracle Identity Managementスイート全体に共通の管理タスクをカプセル化します。
|
注意: 各ロールの職責や、そのロールを実行するために必要な技術と経験などの共通管理者ロールの詳細は、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドの共通管理者ロールに関する項を参照してください。 |
Oracle Privileged Account Managerは、管理ロールを使用して、ターゲットおよび特権アカウントに対するアクセスを管理し、管理者が実行できる操作を制御します。特に、Oracle Privileged Account Managerサーバーは、ログインしているユーザーに割り当てられた管理ロールに基づいて、異なるユーザー・インタフェース・コンポーネントをレンダリングします。
Oracle Privileged Account Managerを管理できるのは、Oracle Privileged Account Manager固有の共通管理者ロールを割り当てられている管理者のみです。
|
注意: 認可された管理者は、Oracle Identity Navigatorコンソールの「管理」タブでロールの構成と割当てを行う必要があります。詳細は、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドのエンタープライズ・ロールの構成に関する項を参照してください。 |
次の表では、Oracle Privileged Account Managerに固有の共通管理者ロールについて説明します。
表2-1 サポートされる管理ロール
インストール後のデフォルトの管理者は、管理者グループのメンバーであるweblogicユーザー(ブートストラップ・ユーザーとも呼ばれる)です。ユーザーを作成して表2-1に説明されているOracle Privileged Account Manager管理ロールに割り当てるには、weblogicユーザーを使用する必要があります。その後、これらのユーザーは、この表に説明されている管理タスクを実行できます。
|
注意: デフォルトの管理者はこれらすべてのロールを自分自身に割り当てることができますが、一般的ではありません。 |
インストール後、weblogicユーザーをブートストラップ・ユーザーとして使用して、ユーザーをドメイン・アイデンティティ・ストアから表2-1に示されているOracle Privileged Account Managerの共通管理者ロールにマップできます。セキュリティ管理者ロールにマップされたユーザーは、他のユーザーに共通管理者ロールを割り当てることができ、後から現在の環境のweblogicユーザーを置き換えることができます。最初のユーザー・マッピングが完了した後、セキュリティ管理者ロールを、ドメイン・アイデンティティ・ストアに定義されている1人以上の管理者ユーザーにマップすることで、デフォルトの管理者ユーザーを置き換えます。
この項で説明する推奨事項を実行することで、デプロイメント環境のOracle Privileged Account Managerを保護できます。
内容は次のとおりです。
Oracle Privileged Account Managerは、その通常の機能の一部としてターゲット・システムでリモート・パスワード・リセットを実行します。これらのパスワードによって特権アイデンティティとして各システムにアクセスできるため(Oracle Privileged Account Managerは特権アカウントおよびアイデンティティを管理します)、このようなリモート・パスワード・リセットがセキュアなネットワーク・チャネルを介して行われることを確認する必要があります。
リセットが発生すると、Oracle Privileged Account Managerは、特権アカウントとしてターゲット・システムにアクセスすることをリクエストするエンド・ユーザーにこれらのパスワードを伝播します。新しくリセットされたこれらのパスワードもセキュアなチャネルを介してエンド・ユーザーに伝播されることを確認する必要があります。
これらの点を考慮すると、Oracle Privileged Account Managerデプロイメントには、注意して調査および保護する必要のある次の2つの項目があります。
Oracle Privileged Account Managerは、ICFコネクタを利用してターゲット・システムと通信します。これらのコネクタは、柔軟性が高く、様々な方法で構成できます。テスト(さらには本番環境)での柔軟性を確保するため、Oracle Privileged Account Managerでは、この接続は必ずしもセキュアなチャネルを介して行われる必要はありません。
SSHが要求される汎用UNIXターゲットを除き、汎用LDAPおよび汎用DBターゲットの接続では、セキュアな(暗号化された)チャネルと暗号化されていないチャネルの両方が許可されます。したがって、Oracle Privileged Account Manager管理者は、ターゲット・システムに接続する際に使用するチャネルのタイプを決定する場合には、関連するすべての要素を検討することが重要です。
パケット・スニッフィングによるパスワード危殆化のリスクを低減するため、常にセキュアなチャネルを使用することをお薦めします。ターゲット・システム(LDAPまたはDB)がSSLをサポートし、SSLポートでリスニングしている場合、Oracle Privileged Account Managerは、そのターゲットとSSLを介して通信できます。
SSLポートでリスニングするようにターゲットを構成する方法の詳細は、ターゲット・システムの製品ドキュメントを参照してください。SSLを介して通信するようにOracle Privileged Account Managerを構成するには、第3.3.2項「Oracle Privileged Account ManagerでのSSL通信の構成」を参照してください。SSLを介してこれらの接続を保護することで、Oracle Privileged Account Managerによって実行されるパスワード・リセット操作がセキュアな方法で行われることが保証されます。
Oracle Privileged Account Managerのエンド・ユーザーが使用できる主なインタフェースは、次の2つです。
コンソール(詳細は第3.4項「Oracle Privileged Account Managerのコンソールのナビゲート」を参照)
コマンドライン・ツール(詳細は付録A「コマンドライン・ツールの使用」を参照)
Oracle Privileged Account Managerのコンソールは、Oracle Identity Navigatorでホストされます。ただし、Oracle Identity Navigatorは、他の目的でも使用されるため、SSLは有効にしても無効にしてもデプロイできます。
SSLを無効にしてOracle Identity Navigatorをデプロイすると、Oracle Identity NavigatorがSSLで保護されたチャネルを介してOracle Privileged Account Managerサーバーと通信する場合でも、Oracle Identity Navigator (Oracle Privileged Account Managerコンソールなど)とエンド・ユーザー・ブラウザ間の接続は保護されないため、セキュリティ上の懸念事項となる可能性があります。
Oracle Identity Navigatorを使用してOracle Privileged Account Managerコンソールを提供する場合、SSL有効モード(SSLのみ)でOracle Identity Navigatorをデプロイする必要があります。
|
注意: Oracle Identity NavigatorでSSLを構成する方法の詳細は、Oracle Fusion Middleware Oracle Identity Navigator管理者ガイドのSecure Socket Layerの構成に関する項を参照してください。 |
Oracle Privileged Account ManagerサーバーではSSL接続が要求されるため、Oracle Privileged Account Managerのコマンドライン・ツールは、常にSSLを使用してセキュアなチャネルを介して通信を行います。したがって、Oracle Privileged Account Managerサーバーがコマンドライン・ツールを介してエンド・ユーザーにパスワードを伝播する場合、常にセキュアなチャネルが使用されるため、パケット・スニッフィングの危険性はありません。
Oracle Privileged Account Managerでは、特権アカウントを共有にするか非共有にするかを指定できます。この項では、共有アカウントを定義し、セキュリティ上の考慮事項について説明し、共有アカウントのセキュリティを強化する方法について示します。
デフォルトでは、Oracle Privileged Account Managerでアカウントをチェックアウトできるのは、一度に1人のユーザーのみです。2番目のユーザーがすでにチェックアウトされているアカウントをチェックアウトしようとすると、アカウントがすでにチェックアウトされていることを示すエラー・メッセージが表示されます。
Oracle Privileged Account Managerでは、同時に複数のユーザーがアカウントをチェックアウトできる共有アカウントを構成することもできます。
複数のユーザーが共有アカウントをチェックアウトする場合、Oracle Privileged Account Managerでは、ユーザーごとに新しいパスワードが生成されるかわりに、最初のユーザーによって生成されたパスワードが共有されます。(新しいパスワードを設定すると既存のチェックアウトに影響します。)Oracle Privileged Account Managerでは、すべてのユーザーがアカウントをチェックインし、最後のユーザーがパスワードをチェックインするまで、そのパスワードはリセットされません。
業務上やむを得ない理由がある場合にのみ、アカウントを共有として指定することをお薦めします。たとえば、複数のユーザーによってデータベース・アカウントを管理する場合、そのアカウントを共有すると便利です。
共有アカウントを構成する場合、次のセキュリティの制限に注意してください。
Oracle Privileged Account Managerでは、最後のユーザーがアカウントをチェックインするまでパスワードはリセットされないため、ユーザーはアカウントのチェックイン後もパスワードを使用できます。
アカウントを共有すると、ファイングレイン監査の実行で問題が発生します。Oracle Privileged Account Managerでは、アカウントがチェックアウトされた時期と、ある時点でそのアカウントにアクセスしたユーザーを示す監査証跡を使用できます。ただし、複数のエンド・ユーザーが同時にチェックアウトした同じ特権アカウントを保持している場合、Oracle Privileged Account Managerは個々のエンド・ユーザーが実行したアクションを区別できません。
アカウントを共有するやむを得ない理由がある場合、次の手順を使用してそのアカウントを保護することをお薦めします。
指定した期間の経過後に特権アカウントを自動的にチェックインするように使用ポリシーを構成します。自動チェックインによって、共有特権アカウントがチェックインされ、そのパスワードが適切な時期に反復されることが保証されます。
特権アカウントを割り当てるユーザーの数を制限し、アカウントにアクセスできる時期を指定してそれらのユーザーをさらに絞り込みます。使用ポリシーを構成して、ユーザーがアカウントにアクセスできる曜日や時間帯を指定できます。これらの制限によってチェックアウトの重複を最小限に抑えることができるため、Oracle Privileged Account Managerの監査機能が向上します。
Oracle Privileged Account Managerでは、アカウントのチェックアウトとチェックインの両方または一方が発生した場合に特権アカウントのパスワードを自動的にリセットするように、特権アカウントのパスワード・ポリシーを構成できます。
少なくとも、チェックインの発生時に特権アカウントのパスワードをリセットするようにパスワード・ポリシーを構成して適用することをお薦めします。チェックインの発生時にパスワードをリセットすると、エンド・ユーザーが使用していたパスワードは特権アカウントとの関連付けを解除されるため、そのアカウントをチェックイン後に使用することはできなくなります。この機能は、Oracle Privileged Account Managerの主要な革新技術の1つであり、使用することをお薦めします。
エンド・ユーザーに特権アカウントを直接割り当てる以外に、Oracle Privileged Account Managerでは、特権アカウントをグループに割り当てることができます。たとえば、"Data Center Product UNIX Administrators"グループを作成して、そのグループに特定の特権アカウントに対するアクセス権を付与できます。
独自のデプロイメントを設計する場合、特定のエンド・ユーザーには、必ずただ1つのパス(直接または単一のグループ)を通じて特権アカウントに対するアクセス権を付与することが重要です。Oracle Privileged Account Managerによって複数の権限付与のパスが検出されると、そのバックエンドから取得された最初のパスが選択されますが、これは非決定的な動作です。この動作では、実際の使用ポリシーが意図した使用ポリシーと異なる可能性があります。
Oracle Privileged Account Managerのパスワード・ポリシーの主な目的は、ターゲット・システムを対象とするOracle Privileged Account Managerが開始したパスワード・リセットの成功を保証することです。
少なくとも、Oracle Privileged Account Managerでは、特権アカウントに対する有効なパスワード・ポリシーによって、そのパスワード・ポリシーがターゲット・システムに対して施行されることを記述する必要があります。ただし、Oracle Privileged Account Manager管理者は、この要件に制約されません。Oracle Privileged Account Managerのリセット操作中に、より複雑でセキュアなパスワードを生成する高度なパスワード・ポリシーをOracle Privileged Account Managerで定義できます。
