| Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11g リリース2 (11.1.2) B69534-04 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Privileged Account Manager管理者ガイド 11g リリース2 (11.1.2) B69534-04 |
|
前 |
次 |
この章では、Oracle Privileged Account Managerサーバーを追加、構成および管理する管理者が確認しておく必要のある情報を提供します。
この章の内容は次のとおりです。
Oracle Privileged Account Managerサーバーは、Oracle Privileged Account Managerの中核機能を実装し、次のものを特定するための認可決定を行います。
管理者またはエンド・ユーザーに公開するターゲットおよび特権アカウント
管理者およびエンド・ユーザーがターゲット、特権アカウントおよびポリシーに対して実行できる操作
また、Oracle Privileged Account Managerサーバーは次のことを行います。
アカウントの使用ポリシーおよびパスワード・ポリシーのサポート
前述の認可決定の実施
OPSSトラスト・サービスによるSAMLベースのOracle Security TokenおよびHTTP Basic認証を使用した認証のサポート
Oracle Privileged Account Managerサーバーの異なる管理ロールのサポート
Oracle Privileged Account Managerサーバーを追加および管理するには、「アプリケーション構成者」管理ロールを持つOracle Privileged Account Manager管理者である必要があります。
この章で説明する手順では、次のOracleマニュアルに含まれる情報および手順を参照しています。Oracle Privileged Account Managerサーバーの構成を開始する前に、必要に応じて参照先の概念、専門用語および手順を確認してください。
表4-1 参照マニュアル
| 参照内容 | 参照先 |
|---|---|
|
管理ロール |
|
|
Oracle WebLogic Serverの概念および専門用語 |
Oracle Fusion Middleware Oracle WebLogic Server管理コンソール・オンライン・ヘルプおよび『Oracle Fusion Middleware Oracle WebLogic Serverの保護』を参照してください。 |
|
IBM WebSphereでのOracle Privileged Account Managerサーバーの追加と管理 |
Oracle Fusion Middleware Oracle Identity and Access Managementサードパーティ・アプリケーション・サーバー・ガイドのIBM WebSphereアイデンティティ・ストアに関する項 |
|
ディレクトリ構造 |
『Oracle Fusion Middlewareインストレーション・プランニング・ガイド』のOracle Fusion Middlewareのディレクトリ構造に関する項 |
|
WebLogicおよび管理対象サーバーの起動 |
『Oracle Fusion Middleware Oracle Identity and Access Managementインストレーション・ガイド』のOracleスタックの起動と停止に関する項 |
この項では、Oracle Privileged Account Managerサーバーを管理するために管理者が必要とする情報を提供し、次の内容が含まれます。
Oracle Privileged Account ManagerコンソールからOracle Privileged Account Managerサーバーへの接続を構成するには、次の手順を使用します。
次のURLにログインしてOracle Privileged Account Managerを開きます。
http://adminserver_host:adminserver_port/oinav/opam
|
注意: 「アプリケーション構成者」管理ロールを持つユーザーとしてログインする必要があります(持たない場合、「サーバー構成」ページにアクセスできません)。 この管理ロールおよび他の管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」を参照してください。 |
Oracle Privileged Account Managerコンソールが表示されたら、「構成」アコーディオンから「サーバー接続」を選択します。
「サーバー接続」ページが表示されたら、サーバーのホスト名とSSLポート番号を入力します。
「SSLポート」フィールドの下にURLが表示されます。
「テスト」ボタンをクリックして接続設定をテストします。
通常は、構成のテストに成功したことを示すメッセージが表示されます。
「適用」ボタンをクリックしてこの接続情報を保存します。
コンソールまたはOPAM Global Config構成エントリ内のプロパティを使用して、スケジューラ間隔やタイムアウトなどのアクティビティに対するサーバー・レベルの動作を定義できます。使用可能なサーバー・プロパティの詳細は、第4.3.2.1項を参照してください。
OPAM Global Config構成エントリで定義されているサーバー・プロパティは、次の2つの場所から管理できます。
Oracle Privileged Account ManagerコンソールからOracle Privileged Account Managerサーバーのプロパティを管理するには、次の手順を実行します。
次のURLにログインしてOracle Privileged Account Managerを開きます。
http://adminserver_host:adminserver_port/oinav/opam
|
注意: 「アプリケーション構成者」管理ロールを持つユーザーとしてログインする必要があります(持たない場合、「サーバー構成」ページにアクセスできません)。 この管理ロールおよび他の管理ロールの詳細は、第2.3.1項「管理ロールのタイプ」および第3.3.4項「ユーザーへのアプリケーション構成者ロールの割当て」を参照してください。 |
Oracle Privileged Account Managerコンソールが表示されたら、「構成」アコーディオンから「サーバー構成」を選択します。
「サーバー構成」ページが表示されたら、次のいずれかのサーバー・プロパティ・オプションを変更できます。
使用ポリシー・スケジューラ間隔。Oracle Privileged Account Managerがアカウントを確認した後、使用ポリシーで定義されている有効期限を超えたアカウントを自動的にチェックインする間隔を秒単位で指定します。(デフォルトは3600秒)
パスワード・ポリシー・スケジューラ間隔。Oracle Privileged Account Managerが、パスワード・ポリシーで定義されている最大パスワード有効期限を超えたアカウントのパスワードを確認およびリセットする間隔を秒単位で指定します。(デフォルトは3600秒)
ターゲット接続タイムアウト。ICFコネクタが接続先のターゲット・システムからのレスポンスを待機する時間として、Oracle Privileged Account Managerによって許可される間隔を秒単位で指定します。
この設定のデフォルト値は20秒ですが、ネットワーク待機時間が長く、ターゲット・システムからのレスポンスに時間がかかるデプロイメントでは、この値を大きくすることが必要になる場合があります。
Oracle Database TDEモード。Oracle Privileged Account Managerで透過的データ暗号化(TDE)モードを使用できるようにするには、このボックスを選択します。
TDEを有効にすると、Oracle Privileged Account Managerによって格納されたすべての機密情報(アカウント・パスワードなど)が、ディスク上で暗号化されます。
このボックスの選択を解除すると、TDEモードは無効になります。
|
注意: 高度なセキュリティの実現のため、TDEモードを有効化することを強くお薦めします。 TDEモードの使用の詳細は、第2.4.6項「バックエンドOracle Privileged Account Managerデータベースの強化」を参照してください。 |
完了したら、「適用」ボタンをクリックして、これらの構成設定を保存します。
OPAM Global Config構成エントリにアクセスし、これらのサーバー・プロパティを変更するには、コマンドラインからgetglobalconfigおよびmodifyglobalconfigコマンドを使用します。
|
注意: これらのコマンドの使用の詳細は、第A.2.15項「 コマンドラインからのTDEモードの有効化または無効化の詳細は、第7.2項「ディスク上のデータの保護」を参照してください。 |
